You are on page 1of 154

Soluciones de Seguridad

Soluciones de Administración

Guía Microsoft de Gestión de


Parches de Seguridad
La información de este documento, incluyendo las referencias a direcciones URL y a otros sitios Web de Internet, está sujeta a cambios sin previo aviso. A
menos que se indique lo contrario, los ejemplos de compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico,
logotipos, personas, lugares y hechos aquí representados son ficticios, y no se pretende ni se debería inferir ninguna asociación con ninguna compañía,
organización, producto, nombre de dominio, dirección de correo electrónico, logotipo, persona, lugar o hecho real. Es responsabilidad del usuario cumplir
todas las leyes de derechos de autor aplicables. Sin limitar los derechos de propiedad, no se puede reproducir, almacenar o introducir en un sistema de
recuperación, ni transmitir ninguna parte de este documento de ninguna manera ni por ningún medio (electrónico, mecánico, fotocopia, grabación u otro),
ni con ningún propósito, sin el permiso expreso por escrito de Microsoft Corporation.

Microsoft puede ser titular de patentes, solicitudes de patentes, marcas comerciales, derechos de autor u otros derechos de la propiedad intelectual que
cubran los temas tratados en este documento. A excepción de lo indicado explícitamente en el contrato de licencia por escrito de Microsoft, este
documento no le otorga ninguna licencia para estas patentes, marcas, derechos de autor u otra propiedad intelectual.

© 2003 Microsoft Corporation. Reservados todos los derechos.

Microsoft, Directorio Activo, Outlook, Windows, Windows Media, Exchange Server, SQL Server, Systems Management Server, Visual Studio y Visual Basic
son marcas registradas o marcas comerciales de Microsoft Corporation en Estados Unidos y/o en otros países.

Los nombres de empresas y productos reales aquí mencionados pueden ser marcas comerciales de sus respectivos propietarios.
Tabla de Contenidos
Tabla de Contenidos ................................................................................................................................3
Descripción General.................................................................................................................................5
Resumen Ejecutivo..............................................................................................................................5
Cómo Leer Esta Guía..........................................................................................................................5
Recursos y Descargas ........................................................................................................................9
Alcance de Esta Guía........................................................................................................................10
Sugerencias.......................................................................................................................................12
Servicios de Soporte y Consultoría ...................................................................................................13
Agradecimientos.....................................................................................................................................15
Notas del Lanzamiento...........................................................................................................................17
Cambios en Esta Versión ..................................................................................................................17
Problemas No Resueltos y Soluciones..............................................................................................17
Parte I.....................................................................................................................................................19
Información Esencial ..............................................................................................................................19
1 .............................................................................................................................................................21
Introducción a la Gestión de Parches de Seguridad ..............................................................................21
Operaciones y Gestión TI Seguras....................................................................................................21
Gestión de Parches de Seguridad.....................................................................................................21
Terminología de Seguridad ...............................................................................................................23
Cómo Repara Microsoft el Software Tras su Lanzamiento ...............................................................26
La Importancia de la Gestión Proactiva de Parches de Seguridad....................................................28
2 .............................................................................................................................................................30
Preparación para la Gestión de Parches................................................................................................30
Evalúe su Entorno, Riesgos y Necesidades ......................................................................................31
Establecer Equipos y Responsabilidades..........................................................................................34
Pasos Siguientes...............................................................................................................................35
3 .............................................................................................................................................................36
Comprensión de la Gestión de Parches de Seguridad...........................................................................36
Instalación .........................................................................................................................................38
Inicio de los Cambios .......................................................................... Error! Bookmark not defined.
Lanzamiento de Seguridad................................................................................................................46
Aplicar la Directiva de Seguridad.......................................................................................................50
Respuesta Urgente de Seguridad .....................................................................................................51
Optimizar los Resultados...................................................................................................................52
4 .............................................................................................................................................................54
Herramientas y Tecnologías ..................................................................................................................54
Resumen Ejecutivo: Distribución de Actualizaciones de Software ....................................................54
Guía de Productos y Tecnologías Microsoft ......................................................................................56
Apéndice A .............................................................................................................................................62
Herramientas y Recursos de Terceros...................................................................................................62
Gestión de Parches ...........................................................................................................................63
Software de Seguridad ......................................................................................................................64
Parte II....................................................................................................................................................66
El Ciclo de Vida de la Gestión de Parches de Seguridad.......................................................................66
1 .............................................................................................................................................................68
Introducción............................................................................................................................................68
Descripción General del Ciclo de Vida de la Gestión de Parches de Seguridad ...............................68
Introducción a las Técnicas ...............................................................................................................72
2 .............................................................................................................................................................73
Instalación ..............................................................................................................................................73
Resumen ...........................................................................................................................................73
Configurar y Mantener la Infraestructura ...........................................................................................74
Creación de una Línea de Referencia ...............................................................................................75
Suscripción ........................................................................................................................................79
Informes de Seguridad ......................................................................................................................81
Técnicas de Instalación .....................................................................................................................83
3 .............................................................................................................................................................97
Inicio de los Cambios .............................................................................................................................97
Resumen ...........................................................................................................................................97
Identificación......................................................................................................................................99
Relevancia.......................................................................................................................................102
Cuarentena......................................................................................................................................103
4 ...........................................................................................................................................................105
Lanzamiento de Seguridad ..................................................................................................................105
Resumen .........................................................................................................................................105
Gestión de Cambios ........................................................................................................................107
Gestión del Lanzamiento .................................................................................................................111
Revisión de los Cambios .................................................................................................................116
Técnicas para un Lanzamiento de Seguridad .................................................................................118
5 ...........................................................................................................................................................127
Aplicar la Directiva de Seguridad .........................................................................................................127
Resumen .........................................................................................................................................127
Estrategias de Aplicación ................................................................................................................129
6 ...........................................................................................................................................................131
Respuesta Urgente de Seguridad ........................................................................................................131
Resumen .........................................................................................................................................131
Preparación para Emergencias – Plan de Contingencia .................................................................132
Detección de Intrusiones .................................................................................................................134
Plan de Respuesta a Incidentes ......................................................................................................137
Actividades y Revisión Tras el Incidente .........................................................................................143
7 ...........................................................................................................................................................145
Optimizar los Resultados .....................................................................................................................145
Medir y Mejorar el Rendimiento.......................................................................................................145
Evaluación de Operaciones.............................................................................................................151
Evaluación de Seguridad.................................................................................................................152
Descripción General
Resumen Ejecutivo
El Problema Empresarial
Las empresas dependen de los recursos de las tecnologías de la información y esperan que
éstos sean fiables: unos pocos días de inactividad resultan caros, mientras que si los activos
corporativos ven su seguridad en peligro, las consecuencias pueden ser desastrosas.
Los virus y gusanos como Klez, Nimda y SQL Slammer explotan vulnerabilidades de seguridad
del software para atacar un ordenador y lanzar nuevos ataques sobre otros ordenadores. Estas
vulnerabilidades también dan a los atacantes la oportunidad de poner en peligro la información
y los activos denegando el acceso a los usuarios válidos, habilitando los privilegios escalados y
exponiendo los datos a visionados y manipulaciones no autorizadas.
El coste operacional de un día de inactividad puede calcularse, pero ¿qué ocurre si la
información que otros han encomendado a su empresa es puesta en peligro públicamente?
Una brecha de seguridad corporativa y la consiguiente pérdida de credibilidad (ante los clientes,
los partners y el gobierno) pueden arriesgar la propia naturaleza de la empresa. Las empresas
que no realizan una gestión proactiva de los parches de seguridad como parte de su estrategia
de seguridad TI lo hacen por su cuenta y riesgo.

La Respuesta
Microsoft se toma muy en serio las amenazas de seguridad, proporcionando rápidamente
orientación y, cuando es necesario, parches de seguridad para las vulnerabilidades. El objetivo
de Microsoft es garantizar que los clientes tienen la capacidad de proteger sus ordenadores de
las vulnerabilidades antes de que los abusos ilegales y peligrosos se conviertan en virus o sean
perpetrados de forma encubierta por los atacantes.
Algunas empresas aplican regularmente parches de seguridad para mitigar el riesgo de futuros
ataques y mantener su entorno protegido; muchas otras, no. Mantenerse protegido a través de
la gestión proactiva de parches de seguridad es un requisito para mantener la fiabilidad de los
recursos de las tecnologías de la información.
La Guía Microsoft de Gestión de Parches de Seguridad ofrece información concisa, técnicas
prescriptivas, herramientas y plantillas para ayudar a las empresas a mantener de forma
económica un entorno Microsoft fiable y seguro a través de la evaluación proactiva de las
vulnerabilidades y la aplicación de los parches de seguridad y las contramedidas adecuadas.

Nota: Esta guía ofrece información sobre el mantenimiento de múltiples ordenadores dentro de
una empresa. Si es usted el responsable de la seguridad y el mantenimiento de su propio
ordenador (como un usuario doméstico), por favor, mantenga su ordenador protegido siguiendo
la Información Básica de Seguridad y Privacidad de Microsoft:
http://www.microsoft.com/spain/seguridad/default.asp.

Cómo Leer Esta Guía


Esta guía se divide en dos partes: la primera ofrece información esencial sobre la gestión de
parches de seguridad valiosa para todos y la segunda proporciona técnicas y descripciones
detalladas del proceso.
6 Guía Microsoft de Gestión de Parches de Seguridad

Parte I: Para los


responsables de la toma de
decisiones y los
profesionales nuevos en la
gestión de parches de
seguridad

Parte II: Para los


profesionales de la
tecnología responsables del
proceso de gestión de
parches de seguridad

Parte I: Información Esencial


Para los responsables de decisiones TI y los profesionales de la tecnología nuevos en la
gestión de parches de seguridad, la Parte I proporciona información útil que toda empresa
debería entender sobre cómo Microsoft aborda las vulnerabilidades y actualizaciones de
seguridad, además de información concisa sobre procesos, herramientas, técnicas y recursos
para realizar de forma eficaz la gestión de parches de seguridad. Estos capítulos introducen
conceptos, términos y tecnologías clave que deben ser comprendidos antes de leer la Parte II.
1. Introducción a la Gestión de Parches de Seguridad
Este capítulo trata varios problemas de seguridad de la industria del software y el impacto
resultante que pueden tener sobre una empresa, introduce términos clave de uso frecuente en
esta guía e identifica algunas vulnerabilidades de seguridad comunes, abusos históricos y las
lecciones que se derivan de ellos.
2. Preparación para la Gestión de Parches
El capítulo 2 presenta los costes empresariales de omitir la gestión de parches y los pasos que
debe seguir una empresa para prepararse satisfactoriamente para la gestión proactiva de
parches. También identifica las responsabilidades clave necesarias durante el ciclo de vida de
la gestión de parches.
3. Entender la Gestión de Parches de Seguridad
Este capítulo discute un proceso racionalizado de gestión de parches de seguridad y define los
problemas, los conceptos clave y las prácticas recomendadas que todo profesional implicado en
la gestión de parches debería entender. Este proceso racionalizado sirve también como base
estructural para las técnicas y procesos prescriptivos presentados en la Parte II. Si va a leer la
Parte II, no necesita leer este capítulo.
4. Herramientas y Tecnologías
El capítulo 4 presenta las tecnologías de evaluación e implantación de parches de Microsoft,
compara los costes y capacidades de cada una y proporciona orientación para ayudar a una
empresa a decidir qué infraestructura de distribución de parches es apropiada para ella.
Apéndice A: Herramientas y Recursos de Terceros
El Apéndice A reúne una lista de algunos de los recursos y herramientas de terceras partes
disponibles para ayudar en la gestión de parches de seguridad.

6
Guía Microsoft de Gestión de Parches de Seguridad 7

Parte II: El Ciclo de Vida de la Gestión de Parches de


Seguridad
Para los profesionales de la tecnología que se encargan de la gestión de parches de seguridad
en una empresa que usa software de Microsoft, la Parte II aborda el proceso en detalle, al
tiempo que describe problemas y técnicas relativos a herramientas concretas. Los detalles del
proceso son adecuados para cualquier empresa, mientras que los problemas y técnicas se
centran específicamente en las necesidades de las empresas que usan Windows Update (WU),
Microsoft Software Update Services (SUS), o Microsoft Systems Management Server (SMS)
para la gestión de parches de seguridad.
1. Introducción
El primer capítulo de la Parte II proporciona una descripción general del ciclo de vida de la
gestión de parches de seguridad y presenta técnicas. Estas técnicas ofrecen orientación técnica
prescriptiva sobre el uso de diversas herramientas para realizar actividades concretas a través
del ciclo de vida de la gestión de parches de seguridad.
2. Instalación
Incluso con una infraestructura de gestión de parches en funcionamiento, hay varias actividades
puntuales que son necesarias para dar un soporte eficaz a la gestión de parches de seguridad.
Este capítulo trata esas actividades de instalación, incluyendo la configuración y el
mantenimiento de la infraestructura de gestión de parches, la identificación del inventario, la
creación de una referencia para el entorno, la suscripción a las notificaciones de seguridad y el
establecimiento de informes de seguridad continuos (mediante herramientas como Microsoft
Baseline Security Analyzer) para ayudar a identificar problemas.
3. Inicio del Cambio
El capítulo 3 describe diversas actividades continuas de mantenimiento y supervisión y cómo se
usa la información resultante para responder a los problemas de seguridad. Estas actividades
incluyen: revisar frecuentemente los sitios Web y las notificaciones e informes de seguridad
para identificar las nuevas actualizaciones de software y los problemas de seguridad,
determinar su relevancia en su entorno, descargar y poner en cuarentena las nuevas
actualizaciones de software para usarlas en pasos consecutivos, iniciar un lanzamiento y otras
respuestas típicas ante los problemas de seguridad.
4. Lanzamientos de Seguridad
La respuesta típica ante una nueva vulnerabilidad identificada es lanzar una actualización de
software o las contramedidas relacionadas. Este capítulo discute los aspectos de la gestión de
cambios, la gestión de lanzamientos (incluyendo las pruebas de las actualizaciones de
software) y la revisión de cambios (incluyendo posiblemente las restauraciones) que debe
seguir un lanzamiento de seguridad.
5. Aplicar la Directiva de Seguridad
Las nuevas instalaciones informáticas, el equipo del laboratorio, los usuarios móviles y la
administración descentralizada pueden ser la causa de que vulnerabilidades previamente
tratadas se repitan en su entorno. Las vulnerabilidades recurrentes sufren un riesgo mayor de
ser explotadas por virus, gusanos y herramientas de ataque que escanean remotamente los
ordenadores en busca de debilidades de seguridad y vulnerabilidades publicadas. El capítulo 5
explica algunas estrategias que pueden usar las empresas para eliminar las viejas
vulnerabilidades si se repiten.
6. Respuesta ante Emergencias de Seguridad
Este capítulo describe cómo prepararse para una emergencia causada por la explotación de
vulnerabilidades de seguridad y qué información crítica, pasos y prácticas recomendadas son
necesarios para responder eficazmente si la tecnología de la información de su empresa está
en peligro o siendo atacada.
7. Optimización de los Resultados

7
8 Guía Microsoft de Gestión de Parches de Seguridad

Ocasionalmente, es importante revisar la eficacia con la que su empresa realiza la gestión de


parches de seguridad y cómo mantiene usted la fiabilidad del entorno de tecnología de la
información. El capítulo 7 habla sobre los indicadores clave de rendimiento que pueden ser
medidos y mejorados con el tiempo, así como sobre algunos recursos disponibles para ayudar a
mejorar el rendimiento.

8
Guía Microsoft de Gestión de Parches de Seguridad 9

Recursos y Descargas
Descargue esta guía con las Plantillas y Herramientas que incluye:
http://go.microsoft.com/fwlink/?LinkId=16286

Acceso a las Plantillas y Herramientas de la Guía


Las Herramientas y Plantillas proporcionadas con la versión para descargar de esta guía
incluyen scripts basados en texto, consultas, documentos y plantillas relacionados con la
gestión de parches de seguridad. Los programas no ejecutables (código compilado) se incluyen
en el paquete de descarga.
Después de descargar el paquete auto extraíble y firmado llamado
Microsoft_Guide_To_Security_Patch_Management_v1.exe, puede extraerlo en su disco duro.
La estructura de directorio resultante será similar a la siguiente, con las herramientas y plantillas
incluidas en el directorio Herramientas y Plantillas y en los subdirectorios oportunos:

El archivo Readme.txt (disponible en la página de descarga y en el paquete) incluye una lista


completa de todos los archivos del paquete de descarga.

Recursos Relacionados
• Recursos de Seguridad de Microsoft en TechNet:
http://www.microsoft.com/spain/technet/seguridad.
• Centro de la Comunidad de Tecnologías de Seguridad de Microsoft:
http://www.microsoft.com/communities/security.

9
10 Guía Microsoft de Gestión de Parches de Seguridad

Alcance de Esta Guía


Mantener su entorno Microsoft seguro y fiable es una prioridad para Microsoft. Aunque todas las
actualizaciones de software pueden identificarse e implantarse a través del proceso descrito en
esta guía, las técnicas detalladas y las prácticas recomendadas se centran principalmente en
los parches de seguridad. No mantener al día los parches de seguridad (y los service packs
como requisito previo) puede tener un efecto devastador sobre las empresas cuando se
aprovecha esa vulnerabilidad.

Nota: La información sobre los futuros lanzamientos de Microsoft es mínima en esta guía. Si
está usted interesado en el futuro de la gestión de parches y en las mejoras y compromisos de
Microsoft en esta área, consulte el white paper Mejorando la Gestión de Parches:
http://www.microsoft.com/security/whitepapers/patch_management.asp.

Microsoft Operations Framework (MOF) y Microsoft


Solutions for Management (MSM)
Esta guía se ha creado extrayendo la información proporcionada en las guías de gestión de
parches de Microsoft Solutions for Management (MSM) y ofreciendo un enfoque adicional sobre
la seguridad. MSM proporciona prácticas recomendadas, servicios de implementación de las
prácticas recomendadas y automatización de las prácticas recomendadas para ayudar a las
empresas a conseguir la excelencia en su funcionamiento.
Esta guía es coherente con al terminología del Microsoft Operations Framework (MOF):
orientación operacional que permite a las empresas lograr la fiabilidad, disponibilidad,
capacidad de soporte y facilidad de uso imprescindibles de los productos y tecnologías
Microsoft.
No se espera que los lectores entiendan o hayan implementado MOF o MSM para leer o usar
esta guía. En ella se han simplificado varios aspectos de MSM y MOF para facilitar su acceso y
adopción generales.
Para más información sobre MSM y MOF, consulte:
• Microsoft Solutions for Management: http://www.microsoft.com/technet/itsolutions/msm.
• Microsoft Operations Framework: http://www.microsoft.com/mof

Fuera del Alcance de Esta Guía


Para el objetivo de esta guía, no se habla sobre las aplicaciones Microsoft construidas para
sistemas operativos distintos de Windows (como la plataforma Macintosh) y el software
embebido proporcionado con el hardware vendido por los fabricantes de equipos originales
(Original Equipment Manufacturers, OEMs). El software OEM es servido generalmente por el
fabricante de hardware.
Hay varias cuestiones de seguridad relacionadas estrechamente con la gestión de parches de
seguridad que se presentan y mencionan en esta guía, pero no se describen en profundidad.
Donde es posible, esta guía remite al lector a los recursos existentes para las siguientes
actividades:
• Rastreo antivirus: los virus son ataques comunes que explotan vulnerabilidades de
software.
• Detección de intrusiones: las soluciones de detección de intrusiones pueden facilitar el
descubrimiento de virus, gusanos y atacantes en su entorno.
• Protección del sistema operativo y de las aplicaciones: muchos ataques aprovechan
las configuraciones débiles de seguridad.

10
Guía Microsoft de Gestión de Parches de Seguridad 11

Esta guía se centra en la gestión de los parches de seguridad. No ofrece orientación sobre la
arquitectura e implantación de una infraestructura de distribución de software o parches que
contenga SUS, SMS o herramientas de terceras partes. Sin embargo, se hace referencia a los
recursos existentes sobre esos temas.

11
12 Guía Microsoft de Gestión de Parches de Seguridad

Sugerencias
Nos gustaría conocer su opinión sobre este material. En concreto, le agradeceríamos mucho
que nos orientase sobre las siguientes cuestiones:
• ¿Le ha resultado útil la información ofrecida?
• ¿Son exactos los procedimientos paso a paso?
• ¿Los capítulos son legibles e interesantes?
• ¿Qué otras técnicas concretas querría ver?
• En general, ¿cómo calificaría la orientación?
Envíe su opinión y sugerencias a la siguiente dirección de correo electrónico:
secwish@microsoft.com. Esperamos sus comentarios.

12
Guía Microsoft de Gestión de Parches de Seguridad 13

Servicios de Soporte y Consultoría


Hay muchos servicios disponibles para ayudar a las empresas en sus esfuerzos de gestión de
parches. Los enlaces siguientes son un gran comienzo para localizar los servicios que necesita:
• Busque en el Directorio de Recursos de Microsoft: Gold Certified Partners, Certified
Technical Education Centers (CTECs), Microsoft Certified Partners (MCPs) y productos de
proveedores independientes de software que usan las tecnologías Microsoft.
• Encuentre los Servicios Microsoft (servicios de Consultoría y Soporte) adecuados para su
empresa.

13
14 Guía Microsoft de Gestión de Parches de Seguridad

14
Guía Microsoft de Gestión de Parches de Seguridad 15

Agradecimientos
Soluciones de Seguridad Microsoft (MSS) quiere reconocer y agradecer al equipo que ha
producido la Guía Microsoft de Gestión de Parches de Seguridad. Las siguientes personas han
sido directamente responsables o han hecho una contribución substancial a la redacción y
revisión de esta guía.

Equipo de Desarrollo
Testers
Autores
José Maldonado, Microsoft Services Greg Feiges, Microsoft Services
Rod Trent, Studio B Mike Jenne, Microsoft Services

Editora Program Manager


Jennifer Kerns, Wadeware Derick Campbell, MSS

Anthony Baron y Graham Stenson, del equipo de Microsoft Solutions for Management
(SMS), también han ofrecido su significativa colaboración y sus consejos.

Revisores de la Versión Beta


Revisores de Microsoft Revisores Externos

Kristie B. R. Atwood, Enterprise Technical Sales Susan E. Bradley, Microsoft MVP


Gigel Avram, Software Update Services Dean Farrington, Wells Fargo
David H. Baur, Microsoft Services Nina Ferguson, Qwest
Cory Delamarter, Grupo de Operaciones y Adam S. Greene, Intel
Tecnología
Glenn Hellriegel, Verizon Wireless
Chris Geier, Microsoft Services
Paul Hudson, Attenda Ltd.
Robert Hensing, Seguridad PSS
Deanna Jenness, First Call Computer
Maxim Kapteijns, Microsoft Services Solutions
David Lef, Grupo de Operaciones y Tecnología Russ Klanke, Verizon Wireless
Patrick Martin, Microsoft Services Jeff Middleton, Microsoft MVP
Eric Price, Windows Sustained Engineering Hans Muller, Attenda Ltd.
Christopher Reinhold, Microsoft Services Chad Sharp, Intel
John Roller, Enterprise Technical Sales Kerry Steele, Citadel Security
Software
Fernando Pessoa Sousa, Microsoft Services
Maria M. Tsiolakki, University of
Bill Stackpole, Microsoft Services
Cyprus

Microsoft quiere agradecer también al Instituto Nacional de Estándares y Tecnología (National


Institute of Standards and Technology) su inestimable colaboración y participación en la revisión
de la versión beta de esta guía.

15
16 Guía Microsoft de Gestión de Parches de Seguridad

16
Guía Microsoft de Gestión de Parches de Seguridad 17

Notas del Lanzamiento


Ésta es la versión 1.1 de la Guía Microsoft de Gestión de Parches de Seguridad, que se terminó
el 3 de julio de 2003.

Cambios en Esta Versión


Versión 1.1
Se han hecho dos correcciones:
• Página 54: soporte para Office Update. Parte I, Capítulo 4, “Herramientas y
Tecnologías”. Se ha actualizado la frase para indicar correctamente que Office Update
funciona para Office 2000 y versiones superiores, no a partir de Office 97 como se indicaba
anteriormente.
• Página 115: descripción de Ohotfix.exe. Parte II, Capítulo 4, “Lanzamiento de
Seguridad”. Se ha corregido la descripción de Ohotfix.exe para indicar que es un launcher
para los archivos MSP (parche de Windows Installer), no una versión personalizada del
Instalador de Windows como se indicaba anteriormente.
Actualización menor del 24 de julio de 2003:
• Los comentarios del archivo MBSAScan.wsf.txt le hacían fallar, por lo que se ha
reemplazado por una versión corregida.
• Se ha cambiado la portada para incluir la marca de “Patterns & Practices”.

Versión 1.0
Ésta fue la primera versión de esta guía, lanzada el 30 de junio de 2003.

Problemas No Resueltos y Soluciones


FWLink en TechNet
Varios enlaces dentro de esta guía usan un mecanismo de reenvío a Microsoft.com llamado
FWLink. Ocasionalmente, algunos ordenadores reciben el mensaje “Objeto No Encontrado”
cuando un enlace de reenvío apunta a una ubicación de TechNet. Para resolver este problema,
haga clic en Actualizar en la barra de herramientas de su explorador.

17
18 Guía Microsoft de Gestión de Parches de Seguridad

18
Guía Microsoft de Gestión de Parches de Seguridad 19

Parte I
Información Esencial

19
20 Guía Microsoft de Gestión de Parches de Seguridad

20
Guía Microsoft de Gestión de Parches de Seguridad 21

1
Introducción a la Gestión de Parches
de Seguridad
Operaciones y Gestión TI Seguras
La seguridad informática se ha convertido en un elemento crítico de la administración de la
inversión en tecnología.
Implementar, ejecutar y mejorar continuamente la seguridad informática es cada vez más
importante conforme evoluciona la tecnología y los atacantes desarrollan nuevos métodos para
explotar las vulnerabilidades de seguridad e impactar negativamente sobre el funcionamiento
empresarial.
Proteger las operaciones y la gestión de las tecnologías de la información (TI), incluyendo la
gestión de parches de seguridad, es la principal línea de defensa disponible para las empresas
que están interesadas en protegerse de estas amenazas.
La gestión de parches de seguridad, la protección del sistema operativo y de las aplicaciones, la
detección proactiva de los virus, la detección de intrusiones y la revisión periódica de los
parámetros de seguridad y de los permisos de las cuentas son, todos ellos, elementos cruciales
de las operaciones y la gestión TI seguras. Todos son parte de una estrategia eficaz de defensa
en profundidad que es necesaria para reducir la exposición de una empresa a los delitos
informáticos actualmente.

El Coste de la Seguridad Débil


Es difícil cuantificar el coste de las brechas de seguridad, porque la mayoría de las empresas no
informan de los ataques. Sin embargo, el Instituto de Seguridad Informática y el FBI realizan un
informe anual sobre seguridad y delitos informáticos que estima en más de 201 millones de
dólares las pérdidas financieras durante 2002. Entre los encuestados, las formas de ataque más
frecuentemente mencionadas fueron los virus (82%) y el abuso del acceso a la red por parte del
personal de la empresa (80%). El robo de información propietaria causó la mayor pérdida
económica, con una media de pérdidas comunicadas de 2’7 millones de dólares.

Nota: Para acceder al Informe de Seguridad y Delitos Informáticos 2003 del CSI/FBI, consulte:
http://www.gocsi.com/db_area/pdfs/fbi/FBI2003.pdf

Las consecuencias de los ataques criminales contra su empresa pueden ser graves y
desembocar en datos y activos dañados, interrupción de la actividad empresarial e infiltración y
acceso a recursos confidenciales y clasificados. Una vez que se han infiltrado en un ordenador,
la aplicación del parche de seguridad ya no es remedio suficiente para garantizar su seguridad;
la recuperación satisfactoria tras un ataque puede requerir la reinstalación completa de todos
los activos en peligro.

Gestión de Parches de Seguridad


La gestión de parches de seguridad es un proceso necesario en todas las plataformas; todos
los proveedores principales de software que estén comprometidos con la seguridad lanzarán

21
22 Guía Microsoft de Gestión de Parches de Seguridad

parches de seguridad en respuesta a las nuevas vulnerabilidades identificadas. No hay ningún


sistema operativo o aplicación de uso generalizado que sea inmune a los atacantes que
dedican su tiempo a intentar localizar vulnerabilidades que aprovechar.
El término gestión de parches describe las herramientas, utilidades y procesos para mantener
los ordenadores al día con las nuevas actualizaciones de software que se desarrollan después
del lanzamiento de un producto de software. Gestión de parches de seguridad es un término
usado en esta guía que pretende describir la gestión de parches centrada en la reducción de las
vulnerabilidades de seguridad.
La gestión proactiva de parches de seguridad es un requisito para mantener su entorno
informático protegido y fiable. Como parte del mantenimiento de un entorno protegido, las
empresas deben tener un proceso para identificar las vulnerabilidades de seguridad y responder
rápidamente. Esto implica la aplicación de actualizaciones de software, cambios en la
configuración y contramedidas para eliminar las vulnerabilidades del entorno y mitigar el riesgo
de que los ordenadores sean atacados. La naturaleza de muchos ataques requiere una sola
vulnerabilidad en su red, así que este proceso debe ser tan exhaustivo como sea posible.
La mayoría de los ataques que tienen éxito parte de la explotación de sólo unas pocas
vulnerabilidades de software. Esta tendencia puede atribuirse a los atacantes oportunistas, que
toman el camino más fácil y conveniente y explotan los fallos más conocidos usando las
herramientas de ataque más eficaces y ampliamente disponibles. Tales atacantes cuentan con
que las empresas no resuelven los problemas conocidos y suelen atacar indiscriminadamente,
rastreando Internet en busca de ordenadores vulnerables. Los atacantes no encuentran
generalmente la vulnerabilidad original, sino el código para explotarla. No es necesario ser un
experto en seguridad para aprovechar una vulnerabilidad y atacar a otros.

Gestión de Parches de Seguridad y Operaciones TI


La gestión de parches de seguridad debe considerarse como un subconjunto de un proceso
mayor de gestión de lanzamientos y cambios. La implementación de la gestión de parches de
seguridad se consigue mejor cuando es una parte integral y coherente de los procesos
operacionales estándar de una empresa. Sin coherencia operacional, un proceso independiente
de gestión de parches de seguridad puede incrementar el coste global de propiedad e introducir
ambigüedades innecesarias en la empresa.
Esta guía refuerza esta coherencia operacional aprovechando los procesos y la terminología de
Microsoft Operations Framework (MOF). MOF proporciona orientación prescriptiva sobre la
gestión de cambios y lanzamientos y muchas otras funciones de gestión de servicios.

22
Guía Microsoft de Gestión de Parches de Seguridad 23

Terminología de Seguridad
Esta sección presenta la terminología clave que es necesario entender para tomar parte en el
proceso de gestión de parches de seguridad.
La tabla siguiente describe varios términos de seguridad usados en esta guía.
Tabla 1.1: Términos Importantes de Seguridad

Término Definición
Vulnerabilidad Una debilidad, característica o configuración de software, hardware o
procedimiento que podría ser un punto débil aprovechado durante un
ataque. También llamado “exposición”.
Ataque Un agente de amenaza que intenta aprovechar las vulnerabilidades para
propósitos indeseados.
Contramedida Configuraciones de software, hardware o procedimientos que reducen el
riesgo de un entorno informático. También llamado “protección” o
“mitigación”.
Amenaza Una fuente de peligro
Agente de amenaza La persona o el proceso que ataca un sistema a través de una
vulnerabilidad de un modo que viola su directiva de seguridad.

Vulnerabilidades
La siguiente tabla enumera varias vulnerabilidades de software típicas.
Tabla 1.2: Vulnerabilidades

Término Definición
Saturación de búfer Un búfer no comprobado en un programa que puede sobrescribir el código
del programa con nuevos datos. Si el código del programa se rescribe con
código ejecutable, el resultado es que el funcionamiento del programa pasa
a ser el dictado por el atacante.
Elevación de privilegios Permite a los usuarios o atacantes obtener privilegios más altos en ciertas
circunstancias.
Fallo de validación Permite datos deformados con consecuencias involuntarias.

Índice MSRC de Gravedad de la Vulnerabilidad


El Centro de Respuesta de Seguridad de Microsoft (Microsoft Security Response Center,
MSRC) usa índices de gravedad para ayudar a las empresas a determinar la urgencia de las
vulnerabilidades y las actualizaciones de software relacionadas.

23
24 Guía Microsoft de Gestión de Parches de Seguridad

Tabla 1.3: Índice de Gravedad de la Vulnerabilidad

Término Definición
Crítica Una vulnerabilidad cuya explotación podría permitir la propagación de un
gusano de Internet sin intervención del usuario.
Importante Una vulnerabilidad cuya explotación podría poner en peligro la
confidencialidad, integridad o disponibilidad de los datos de los usuarios, o
la integridad o disponibilidad de los recursos de proceso.
Moderada Su explotación está mitigada en un alto grado por factores como la
configuración predeterminada, la auditoría o la dificultad de la explotación.
Baja Una vulnerabilidad cuya explotación es extremadamente difícil o cuyo
impacto es mínimo.

Para más información sobre el índice MSRC de gravedad de vulnerabilidades, consulte el


Sistema de Clasificación de Gravedad de los Boletines de Seguridad del Centro de Respuesta
de Seguridad de Microsoft: http://www.microsoft.com/technet/security/policy/rating.asp.

Categorías de Amenaza
Microsoft ha desarrollado el modelo STRIDE para categorizar las amenazas de software. Estas
categorías se usan a menudo en los boletines de seguridad de Microsoft para describir la
naturaleza de una vulnerabilidad de seguridad.
Tabla 1.4: Modelo STRIDE de Categorías de Amenaza

Término Definición
Suplantación de identidad Obtención de acceso y uso ilegales de la información de autentificación de
otra persona, como el nombre de usuario y la contraseña.
Manipulación de datos Modificación maliciosa de los datos.
Rechazo Se asocia con los usuarios que niegan haber realizado una acción, aunque
no hay forma de probarlo. El No rechazo se refiere a la capacidad de un
sistema de contrarrestar las amenazas de rechazo (por ejemplo, firmar por
un paquete recibido para poder usar como evidencia la firma).
Revelación de información Exposición de la información a sujetos que no deben tener acceso a ella;
por ejemplo, acceder a los archivos sin tener los permisos apropiados.
Denegación de servicio Intento explícito de impedir que los usuarios legítimos usen un servicio o
sistema.
Elevación de privilegios Se produce cuando un usuario sin privilegios obtiene acceso privilegiado.
Un ejemplo de elevación de privilegios sería un usuario sin privilegios que
consigue que se le agregue al grupo de Administradores.

Nota: Para más información sobre el modelo STRIDE y cómo enseña Microsoft a los
desarrolladores a escribir código seguro, consulte el libro de Howard, Michael y David LeBlanc
Escribir Código Seguro: Segunda Edición, Redmond, WA: Microsoft Press, 2002.
http://www.microsoft.com/mspress/books/5957.asp.

24
Guía Microsoft de Gestión de Parches de Seguridad 25

Agentes de la Amenaza
Las amenazas maliciosas son ataques desde dentro o desde fuera de la red que tienen la
intención de dañar o deteriorar una empresa. Las amenazas sin intención de dañar provienen
generalmente de empleados sin formación que no son conscientes de las amenazas y
vulnerabilidades de seguridad.
La tabla siguiente describe varios agentes de amenazas maliciosas.
Tabla 1.5: Agentes de la Amenaza

Término Definición
Virus Programa intruso que infecta los archivos de los ordenadores insertando
copias de código que se auto replica y borrando los archivos críticos, hace
modificaciones en el sistema o ejecuta alguna otra acción que daña los
datos o el ordenador en sí. Un virus se adjunta a un programa huésped.
Gusano Un programa que se auto replica, a menudo malicioso como un virus, que
puede propagarse entre ordenadores sin infectar antes los archivos.
Troyano Software o correo electrónico que parece ser útil y benigno, pero que de
hecho cumple algún objetivo destructivo o facilita el acceso al atacante.
Correo bomba Un correo electrónico malicioso enviado a un receptor confiado. Cuando el
receptor abre el correo o ejecuta el programa, el correo bomba realiza
alguna acción maliciosa sobre el ordenador
Atacante Persona u organización que lleva a cabo el ataque.

Nota: Aunque las amenazas automatizadas, como los virus, se escriben para aprovechar
vulnerabilidades concretas, un atacante centrado en su empresa no tiene esas limitaciones: es
un atacante que intenta poner en peligro un entorno por cualquier medio disponible.
Los ataques dirigidos pueden realizarse local o remotamente y pueden incluir la búsqueda
exhaustiva de una vulnerabilidad de entre todas las posibles, incluyendo vulnerabilidades de
software, contraseñas débiles, configuraciones débiles de seguridad y vulnerabilidades de
formación o de la directiva de seguridad.

25
26 Guía Microsoft de Gestión de Parches de Seguridad

Cómo Repara Microsoft el Software Tras su


Lanzamiento
Microsoft se compromete a proteger a los clientes frente a las vulnerabilidades de seguridad.
Como parte de este esfuerzo, Microsoft pone periódicamente a su disposición lanzamientos de
actualizaciones de software. Para más información sobre este compromiso, consulte el white
paper Informática de Confianza:
http://www.microsoft.com/presspass/exec/craig/10-02trustworthywp.asp.
Todos los grupos de producto de Microsoft incluyen un equipo de ingeniería de soporte que
desarrolla actualizaciones de software para los problemas descubiertos después del
lanzamiento del producto.
Cuando Microsoft descubre una vulnerabilidad de seguridad, ésta es evaluada y comprobada
por el MSRC y los grupos de producto adecuados. Después, el equipo de ingeniería de soporte
del grupo de producto crea y prueba un parche de seguridad para remediar el problema,
mientras que el MSRC trabaja con el descubridor de la vulnerabilidad para coordinar el
lanzamiento de la información pública en forma de un boletín de seguridad con los detalles del
parche de seguridad.
A continuación, la actualización de software se distribuye a través del Centro de Descarga de
Microsoft y otros servicios, como Microsoft Windows Update, Microsoft Office Update, Microsoft
Software Update Services (SUS) y Microsoft Systems Management Server (SMS) con el
Feature Pack de SUS.
Cuando está a punto de lanzarse la actualización de software, el MSRC publica un boletín de
seguridad relacionado.

Nota: los parches de seguridad se desarrollan para diversas versiones del sistema operativo y
las aplicaciones. Para entender los niveles de soporte que puede esperar para distintas
versiones del software, puede revisar las directivas de ciclo de vida del producto de Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;[LN];lifecycle.
Generalmente, los parches de seguridad están disponibles para los productos soportados en el
service pack actual y en el anterior. Sin embargo, no siempre es así: compruebe las directivas
de ciclo de vida de soporte del producto de su producto en concreto para estar seguro.

Terminología de las Actualizaciones de Software


La siguiente tabla enumera los nuevos términos estándar de Microsoft para las actualizaciones
de software, en vigor desde el 30 de junio de 2003. Como verá, Microsoft ya no emplea el
término parche para describir una actualización de software, excepto como parte de la
expresión parche de seguridad o al describir el proceso de gestión de parches, que es un
término de amplia comprensión en la industria del software.

26
Guía Microsoft de Gestión de Parches de Seguridad 27

Tabla 1.6: Nueva Terminología de Microsoft para las Actualizaciones de Software

Término Definición
Parche de seguridad Revisión ampliamente difundida para un producto concreto que afronta una
vulnerabilidad de seguridad. Se suele decir que el parche de seguridad
tiene una gravedad, lo cual se refiere en realidad al grado de gravedad en
la escala del MSRC de la vulnerabilidad que resuelve el parche de
seguridad.
Actualización crítica Revisión ampliamente difundida para un problema concreto que resuelve
un bug crítico y no relacionado con la seguridad.
Actualización Revisión ampliamente difundida para un problema concreto que resuelve
un bug que no es crítico ni está relacionado con la seguridad.
Revisión Paquete sencillo compuesto por uno o más archivos usados para resolver
un problema de un producto. Las revisiones afrontan una situación
concreta del cliente, sólo están disponibles a través de una relación de
sporte con Microsoft y no pueden ser distribuidas fuera de la empresa
cliente sin el consentimiento legal por escrito de Microsoft. En el pasado,
los términos QFE (Quick Fix Engineering), parche y actualización se
usaban como sinónimos de revisión.
Rollup de actualizaciones Colección de parches de seguridad, actualizaciones, actualizaciones
críticas y revisiones lanzados como una oferta acumulativa o enfocada a
un solo componente de producto, como Microsoft Internet Information
Services (IIS) o Microsoft Internet Explorer. Facilita la implantación de
múltiples actualizaciones de software.
Service pack Conjunto acumulativo de revisiones, parches de seguridad, actualizaciones
críticas y actualizaciones desde el lanzamiento del producto, incluidos
muchos problemas resueltos que no se habían puesto a disposición del
público a través de ninguna otra actualización de software. Los service
packs también pueden contener un número limitado de cambios de diseño
o características solicitados por los clientes. Los service packs se
distribuyen ampliamente y Microsoft los prueba más que ninguna otra
actualización de software.
Service pack integrado Combinación de un producto y un service pack en un solo paquete.
Feature pack Lanzamiento de una nueva característica que añade funcionalidad a un
producto. Se suele incluir en el siguiente lanzamiento del producto.

Nota: Dado que las definiciones son nuevas, muchos recursos y herramientas existentes no
emplean los términos tal como están definidos aquí.

27
28 Guía Microsoft de Gestión de Parches de Seguridad

La Importancia de la Gestión Proactiva de Parches


de Seguridad
Ha habido varios ataques ampliamente publicitados y vulnerabilidades relacionados con el
software de Microsoft. Muchas empresas que practicaban la gestión proactiva de parches de
seguridad no se vieron afectadas por estos ataques, porque actuaron según la información que
Microsoft publicó antes del ataque.
En la tabla siguiente, se identifican varios ataques históricos y su fecha. En cada caso, se había
lanzado previamente un boletín MSRC que identificaba la vulnerabilidad y describía cómo evitar
que se explotase en un futuro (a través de actualizaciones de software y otras contramedidas).
La última columna de la tabla, Días Disponibles Antes del Ataque, da el número de días del que
dispusieron las empresas para implementar las recomendaciones del MSRC y evitar el futuro
ataque.
Tabla 1.7: Ejemplos de Ataques Históricos y Boletines MSRC Relacionados

Nombre Fecha Gravedad Boletín Fecha Boletín Días Disponibles


Ataque Descubrimiento MSRC MSRC MSRC Antes del Ataque
Trojan.Kaht 5/05/2003 Crítica MS03-007 17/03/2003 49
SQl Slammer 24/01/2003 Crítica MS02-039 24/07/2002 184
Klez-E 17/01/2002 - MS01-020 29/03/2001 294
Nimda 18/09/2001 - MS00-078 17/10/2000 336
Código Rojo 16/07/2001 - MS01-033 18/06/2001 28
- Boletines lanzados antes de la entrada en vigor de la escala de gravedad MSRC

Esta guía se ha creado para ayudar a las empresas a evitar ataques futuros como éstos,
centrándose concretamente en la columna Días Disponibles Antes del Ataque. Muchas
empresas evitaron eficazmente los ataques enumerados en la tabla mediante la gestión
proactiva de parches de seguridad.

Nota: La tabla anterior no recoge los ataques directos e intencionados ejecutados por personas
pertenecientes o ajenas a la empresa objetivo, que buscaron y explotaron vulnerabilidades de
seguridad con intención delictiva. La gestión proactiva de los parches de seguridad es un modo
eficaz de limitar los ataques que se centran en las vulnerabilidades de software conocidas.

Para proporcionar una mejor comprensión de la relación entre los boletines MSRC y las
posibilidades que ofrecen a las empresas que quieren un entorno seguro, las secciones
siguientes describen brevemente dos ataques históricos: los gusanos Código Rojo y SQL
Slammer.

Evitar Ataques, Ejemplo 1: Código Rojo


Código Rojo es un gusano que se propagó muy rápidamente y tenía un gran impacto potencial.
El 16 de julio de 2001, el gusano Código Rojo original se propagó por 250.000 ordenadores en
sólo nueve horas. El impacto del gusano incluía la ralentización de la velocidad de Internet,
interrupciones y problemas en las páginas Web e interrupción de las aplicaciones empresariales
y personales, como el correo y el comercio electrónicos.
Código Rojo explotaba una vulnerabilidad de saturación de un búfer dentro de IIS para ejecutar
el código sobre los servidores Web. IIS se instala por defecto con Microsoft Windows Server
2000 y muchas aplicaciones lo usan.
Algunas empresas evitaron el gusano Código Rojo siguiendo las directrices de MS01-033, un
boletín de seguridad MSRC publicado el 18 de junio de 2001, 28 días antes de la aparición de
Código Rojo.
Par más información sobre este boletín de seguridad, incluyendo aspectos técnicos y
contramedidas, consulte:
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp.

28
Guía Microsoft de Gestión de Parches de Seguridad 29

Evitar Ataques, Ejemplo 2: SQL Slammer


SQL Slammer (o Sapphire) es un gusano dirigido a los sistemas SQL Server 2000 y Microsoft
Data Engine (MSDE) 2000, que provoca un gran volumen de tráfico de red tanto en Internet
como en las redes internas privadas, actuando (algunos dirían que intencionadamente) como un
eficaz ataque de denegación de servicio.
Sobre las 21:30 del viernes 24 de enero de 2003, SQL Slammer causó un drástico incremento
en el tráfico de red a nivel mundial. El análisis del gusano SQL Slammer muestra que:
• El gusano necesitó escasamente diez minutos para propagarse por todo el mundo, lo cual
lo convierte con mucho en el gusano más rápido hasta la fecha.
• En las fases iniciales, el número de hosts en peligro se duplicaba cada 8’5 segundos.
• En su apogeo (logrado aproximadamente tres minutos después de su lanzamiento), rastreó
la red a una velocidad de más de 55 millones de direcciones IP por segundo.
• Infectó al menos a 75.000 víctimas y, probablemente, a muchas más.
SQL Slammer explotaba una vulnerabilidad de saturación de búfer, que se identificó por primera
vez en el boletín de seguridad MS02-039 (julio de 2002), 184 días antes del ataque, y se
identificó de nuevo en el boletín de seguridad MS02-061. Con cada boletín se ofreció un parche
de seguridad, así como las contramedidas adecuadas.
Para más información sobre este boletín de seguridad, incluyendo aspectos técnicos y
contramedidas, consulte:
http://www.microsoft.com/technet/security/bulletin/MS02-039.asp.
Lecciones Aprendidas de SQL Slammer
Uno de los retos que afrontaron las empresas para evitar el SQL Slammer fue la naturaleza
ubicua de MSDE e incluso de SQL Server, porque son instalados y utilizados por muchos otros
productos.
El ataque de SQL Slammer puso de manifiesto tres lecciones importantes sobre la naturaleza
de las vulnerabilidades de seguridad:
• Conocer exactamente todos los ordenadores, productos y tecnologías presentes en su
entorno es un requisito previo importante para gestionar satisfactoriamente la gestión de
parches.
• Un ataque efectivo no necesita vulnerabilidades en los activos de alto valor. SQL Slammer
interrumpió eficazmente las operaciones críticas incluso a través de ordenadores
vulnerables de poco valor de la misma red.
• Implantar una vez un parche de seguridad puede no ser suficiente para eliminar una
vulnerabilidad. Los rastreos periódicos para detectar la repetición de vulnerabilidades junto
con la gestión de incidentes para resolver dichas repeticiones es igualmente importante.

Nota: El gusano SQL Slammer también enseñó a Microsoft muchas lecciones sobre cómo
necesita Microsoft mejorar las herramientas de gestión de parches, la calidad de las
actualizaciones de software y la comunicación interna y externa que sustenta los procesos de
ingeniería. Para más información sobre los esfuerzos que Microsoft está haciendo en este
sentido, consulte el white paper Mejoras de la Gestión de Parches:
http://www.microsoft.com/security/whitepapers/patch_management.asp.

29
30 Guía Microsoft de Gestión de Parches de Seguridad

2
Preparación para la Gestión de
Parches
Para prepararse para la gestión de parches, es esencial entender plenamente la importancia
empresarial de la gestión de parches en su entorno concreto y las tecnologías y habilidades que
usted tiene que poner en práctica (o las que no debe poner en práctica) para gestionar
proactivamente los parches. A continuación, pueden asignarse equipos y responsabilidades
para garantizar que la gestión de parches se realiza eficazmente, como parte del
funcionamiento normal. La gestión eficaz de parches, como la seguridad y el funcionamiento, se
logra a través de la combinación de personas, procesos y tecnología.

30
Guía Microsoft de Gestión de Parches de Seguridad 31

Evalúe su Entorno, Riesgos y Necesidades


Para determinar cuántos recursos debe dedicar a la gestión de parches de seguridad, evalúe
primero el impacto de una gestión de parches pobre (o reactiva) sobre el negocio y, a
continuación, determine si las capacidades y la infraestructura de la empresa son suficientes
para realizar eficazmente la gestión de parches. Use esta información para decidir cuáles deben
ser los objetivos de su empresa en cuanto a la gestión proactiva de parches de seguridad.
Esta sección define a un alto nivel estas actividades de evaluación.

El Problema Empresarial
El problema empresarial debe recoger y resumir el impacto sobre el negocio derivado de no
aplicar la gestión de parches, que implica reaccionar, por tanto, ante los problemas de
seguridad sólo cuando se producen. Esto se consigue mejor mostrando el impacto económico
de ataques sucesivos como virus y gusanos (así como ataques centrados en su empresa,
instigados por sujetos de su empresa o ajenos a ella) y el impacto negativo sobre todos los
objetivos y metas relacionados con el negocio.
Éstas son algunas áreas que tener en cuenta al determinar el impacto económico potencial de
una gestión de parches pobre:
• Tiempo de inactividad. ¿Cuál es el coste del tiempo de inactividad de los ordenadores de
su entorno? ¿Y si los sistemas críticos de la empresa dejan de funcionar? Determine el
coste alternativo de la pérdida de productividad del usuario final, las transacciones no
realizadas en los sistemas críticos y las oportunidades de negocio perdidas durante un
incidente. La mayoría de los ataques provocan un tiempo de inactividad, ya sea por el
ataque en sí mismo o porque lo requiere la solución correspondiente durante la
recuperación. Los ataques históricos han dejado ordenadores inactivos durante varios días.
• Tiempo de resolución. ¿Cuánto cuesta reparar un problema generalizado en su entorno?
¿Cuánto cuesta reinstalar un ordenador? ¿Y si tuviese que reinstalar todos sus
ordenadores? Muchos ataques de seguridad requieren una reinstalación completa para
tener la certeza de que no ha quedado ninguna “back door” que permita futuros abusos.
• Integridad cuestionable de los datos. En caso de que un ataque dañe la integridad de los
datos, ¿cuánto cuesta recuperarlos desde la última copia de seguridad conocida o
confirmar la corrección de los datos con los clientes y partners?
• Pérdida de credibilidad. ¿Cuál es el coste de la pérdida de credibilidad ante sus clientes?
¿Cuánto le costaría si perdiese uno o más clientes?
• Publicidad negativa. ¿Qué impacto tiene sobre su empresa la publicidad negativa?
¿Cómo podría variar el precio de sus acciones o la valoración de su empresa si es
percibida como una empresa de escasa fiabilidad para hacer negocios? ¿Cuál sería el
impacto si se fracasa en la protección de la información personal de sus clientes, como los
números de sus tarjetas de crédito?
• Defensa legal. ¿Qué podría costar defender a la empresa de las acciones legales
emprendidas por terceros después de un ataque? Las empresas que ofrecen servicios
importantes a otros han visto cuestionado su proceso de gestión de parches (o la carencia
del proceso).
• Robo de la propiedad intelectual. ¿Cuál es el coste si la propiedad intelectual de su
empresa es robada o destruida?
• Otras áreas. ¿Cuál sería el coste de las investigaciones, en coordinación con la ejecución
de la ley y el emprendimiento de acciones legales contra los atacantes?
Use los ataques pasados para ayudar a determinar esos costes, pero tenga presente que la
mayoría de los ataques de virus ya experimentados no han dañado los sistemas informáticos en
la medida en que podrían haberlo hecho. Los ataques dirigidos en concreto a su empresa
también pueden resultarle muy costosos.

31
32 Guía Microsoft de Gestión de Parches de Seguridad

La Evaluación
La fase de evaluación debe resumir las herramientas y activos disponibles para participar en la
gestión de parches y la capacidad de la empresa para realizar la gestión de parches.
Algunas áreas críticas que evaluar son:
• Sistemas operativos y versiones. ¿A cuántos sistemas operativos se da soporte? Tener
diferentes sistemas operativos y versiones hace más difícil la gestión global de parches.
• Aplicaciones de software y versiones. ¿Cuántas aplicaciones de software y versiones
necesitarían parches de seguridad? ¿Hay soporte actualmente para todas las aplicaciones?
¿Para cuántas de ellas se publicaron parches de seguridad el año pasado? Tener muchas
versiones de las mismas aplicaciones puede dificultar la gestión de parches.
• Inventario informático y evaluación de los sistemas críticos. ¿Cuántos ordenadores
que deban ser administrados hay en el entorno? ¿Qué sistemas son imprescindibles para el
funcionamiento de la empresa y, por tanto, necesitan estar altamente disponibles? ¿Se
lleva un inventario de equipos y software? ¿El inventario se hace manualmente o de forma
automática a través de una herramienta? Un inventario actualizado de los ordenadores, los
sistemas operativos y las aplicaciones es crucial para la gestión de parches.
• Ordenadores no administrados. ¿Cuántos ordenadores que no se administren y
configuren centralmente hay en el entorno? Es necesario que la gestión de parches trate
también estos activos, pero la naturaleza de la administración distribuida puede añadir
complejidad a la hora de eliminar vulnerabilidades.
• Estado de vulnerabilidad actual. ¿Se mantienen actualizados los equipos con los service
packs y parches de seguridad más recientes? ¿Hay una buena directiva de seguridad que
defina la configuración y estándares de seguridad informática de la empresa? El rastreo
periódico en busca de vulnerabilidades con herramientas como Microsoft Baseline Security
Analyzer, es importante para garantizar la identificación de las vulnerabilidades.
• Infraestructura de red. Conozca su infraestructura de red, sus capacidades y su nivel de
seguridad. ¿Está protegida la red contra las amenazas comunes? ¿Hay cortafuegos?
¿Están protegidas las redes inalámbricas?
• Distribución de software. ¿Hay una infraestructura de distribución de software? ¿Puede
usarse para distribuir actualizaciones de software? ¿Da servicio a todos los ordenadores de
su entorno?
• Personas y habilidades. ¿Hay bastantes personas formadas para realizar la gestión de
parches de seguridad? ¿Está la plantilla concienciada de que la gestión de parches es
necesaria? ¿Entienden las configuraciones de seguridad, las vulnerabilidades informáticas
comunes, las técnicas de distribución de software, la administración remota y el proceso de
gestión de parches?
• Eficacia operacional. ¿Hay procesos estándar de funcionamiento, o las operaciones
cotidianas permanecen imprecisas durante largo tiempo? ¿Existen procesos para los
cambios y lanzamientos de administración, aunque sean informales? La protección de un
entorno contra los ataques no debe basarse en operaciones ad hoc o sobre la marcha.

32
Guía Microsoft de Gestión de Parches de Seguridad 33

Asegurar la Colaboración y Determinar los Objetivos


Los programas de seguridad como la gestión de parches de seguridad se llevan a cabo más
fácilmente con soporte ejecutivo. Los profesionales de la tecnología pueden dirigir la
infraestructura, herramientas, técnicas y procesos de gestión de parches de seguridad, pero sin
la colaboración ejecutiva será difícil asegurarse suficientes recursos y soporte extenso para
áreas como la directiva de seguridad, que debe aplicarse en toda la empresa para ser
realmente eficaz.
Los colaboradores ejecutivos deben fijar y entender metas empresariales y objetivos de soporte
claros. Las metas empresariales deben abarcar las siguientes áreas:
− Meta: Minimizar la aparición y gravedad de los ataques
• Asegurar la evaluación e instalación proactivas de todas las actualizaciones de
software necesarias.
• Garantizar que existe una directiva de seguridad, incluyendo las configuraciones de
seguridad informática estándar, coherente con el nivel de riesgo que la empresa está
dispuesta a asumir (carencia de una directiva de seguridad = máximo riesgo).
• Garantizar que las vulnerabilidades son las mínimas y el cumplimiento de la directiva de
seguridad mediante rastreos regulares del entorno en busca de vulnerabilidades.
• Garantizar que la empresa tiene herramientas, habilidades y un plan de respuesta ante
incidentes para combatir eficazmente los ataques cuando se produzcan.
− Meta: Optimizar el tiempo y los recursos dedicados a la gestión de parches de seguridad.
• Usar herramientas que ayuden a automatizar la búsqueda de vulnerabilidades, el
inventario y la evaluación e implantación de parches.
• Implantar procesos para garantizar que la gestión de parches de seguridad se
consolida como una parte eficaz del funcionamiento normal.
La Parte II de esta guía proporciona detalles y recursos para ayudar a conseguir cada una de
estas metas.

33
34 Guía Microsoft de Gestión de Parches de Seguridad

Establecer Equipos y Responsabilidades


Dependiendo del tamaño y necesidades de una empresa, la gestión de parches deberá ser
realizada por una sola persona o por un equipo entero de personas trabajando de modo central
o descentralizado. Para garantizar el éxito, deben estar las responsabilidades bien definidas y
los miembros del equipo deben responsabilizarse de los resultados.
Para ayudar en la estructura y responsabilidades del equipo operacional, el modelo de equipo
Microsoft Operations Framework (MOF) incluye seis grupos de roles que identifican las tareas
que es necesario realizar en un entorno de operaciones eficaz.
Los grupos de roles pueden usarse para definir equipos de operaciones enteros, si quiere. En
entornos más pequeños, unas pocas personas pueden abarcar varios roles.
Para leer una descripción completa de los grupos de roles MOF y de cómo se relacionan con
varios procesos de operaciones, vea el white paper Modelo MOF de Equipo de Operaciones:
http://www.microsoft.com/technet/itsolutions/tandp/opex/mofrl/MOFTMl.asp.

34
Guía Microsoft de Gestión de Parches de Seguridad 35

Pasos Siguientes
Después de evaluar las necesidades de su empresa y de asegurarse de que se ponen en
marcha los roles y responsabilidades adecuados, debe seleccionar e implementar la
infraestructura necesaria para que la gestión de parches de seguridad se convierta en una parte
integral de las operaciones TI.

Implementación y Operaciones
La implementación se centra en seleccionar e implementar las herramientas, tecnologías e
infraestructura necesarias para ayudar a conseguir eficazmente los objetivos de la gestión de
parches de seguridad.
El Capítulo 4, “Herramientas y Tecnologías”, y el Apéndice A, “Herramientas y Recursos de
Terceros” de la Parte I proporcionan información sobre las herramientas disponibles para
automatizar el rastreo de vulnerabilidades, la evaluación y el inventario de parches, la
implantación de los parches y algunas otras actividades de seguridad. El Capítulo 4 de la Parte I
incluye también orientación para elegir una infraestructura de distribución de actualizaciones de
software Microsoft.

Nota: Si quiere orientación y prácticas probadas para planificar, construir e implantar soluciones
TI eficazmente, consulte Microsoft Solutions Framework en:
http://www.microsoft.com/msf.

Esta guía se centra principalmente en el funcionamiento de la gestión de parches de seguridad,


que se describen a un alto nivel en la Parte I, Capítulo 3, “Comprensión de la Gestión de
Parches de Seguridad”, y en detalle en la Parte II.

35
36 Guía Microsoft de Gestión de Parches de Seguridad

3
Comprensión de la Gestión de
Parches de Seguridad
Nota: La Parte II de esta guía elabora el mismo ciclo de vida que se presenta en este capítulo,
ofreciendo prácticas detalladas y técnicas para varias tecnologías. Si va a leer la Parte II de
esta guía, no es necesario que lea este capítulo.

Figura 3.1
Descripción General de la Gestión de Parches de Seguridad
Las empresas de software lanzan actualizaciones de software que resuelven problemas que se
descubren después del lanzamiento del producto. Mantener un entorno seguro y fiable para
impedir que los ataques tengan éxito requiere perseverancia y esfuerzo.

36
Guía Microsoft de Gestión de Parches de Seguridad 37

Este capítulo dota al lector de una comprensión de alto nivel del proceso continuo de gestión de
parches de seguridad que toda empresa debe tener en funcionamiento y describe conceptos y
principios clave de la gestión de parches de seguridad, incluyendo:
• Instalación. Actividades puntuales necesarias para soportar de forma eficaz la gestión de
parches de seguridad, como la realización del inventario y la creación de un entorno de
referencia, la suscripción a alertas de seguridad, el establecimiento de informes de
seguridad para ayudar en la detección de problemas y la configuración y el mantenimiento
de la infraestructura de gestión de parches.
• Iniciar los cambios. La supervisión continua usada para identificar los problemas de
seguridad debe resolverse modificando el entorno de producción. Esto incluye revisar
varias fuentes de información y reportes para identificar los nuevos problemas de seguridad
y las actualizaciones de software, determinar su relevancia, poner en cuarentena las
nuevas actualizaciones de software para su uso en etapas subsiguientes e iniciar una
respuesta para afrontar el problema de seguridad.
Las respuestas típicas ante un problema de seguridad identificado que abarca este capítulo
incluyen:
• Lanzamientos de seguridad. La respuesta usual ante una nueva vulnerabilidad
identificada es el lanzamiento de una actualización de software o de las contramedidas
relacionadas. La ejecución de un lanzamiento de seguridad incluye la gestión de los
cambios, la gestión del lanzamiento (incluyendo las pruebas) y la revisión (incluyendo la
restauración, si es necesario).
• Ejecución de la directiva de seguridad. Esta respuesta es necesaria cuando en el
entorno se repiten vulnerabilidades previamente tratadas. Las vulnerabilidades recurrentes
tienen un mayor riesgo de explotación por parte de virus, gusanos y herramientas de
ataque que escanean los ordenadores remotamente en busca de debilidades de seguridad
y vulnerabilidades publicadas.
• Respuesta urgente de seguridad. Prepararse y responder ante los ataques que explotan
las vulnerabilidades de seguridad de su empresa.
Con el paso del tiempo, la empresa debe centrarse en optimizar los resultados; las actividades
puntuales que revisan la efectividad con que esa empresa realiza la gestión de parches de
seguridad y cómo medir y mejorar el proceso para cumplir los objetivos empresariales
concretos. Este capítulo concluye con una revisión de alto nivel de la optimización de
resultados.

37
38 Guía Microsoft de Gestión de Parches de Seguridad

Instalación
Esta sección ofrece una descripción general de alto nivel de las actividades puntuales de
instalación para la gestión de parches de seguridad. Este asunto se aborda más detalladamente
en la Parte II, Capítulo 2, “Instalación”.

Figura 3.2
Instalación para la gestión de parches de seguridad

Creación de una Línea de Referencia


La creación de una línea de referencia (baselining) es la denominación del proceso por el cual
se colocan los ordenadores de un entorno en una línea de referencia (baseline) estándar de
software; es decir, con las mismas versiones del software y las mismas actualizaciones de
software. Sin la creación de una línea de referencia, la gestión de parches de seguridad es
innecesariamente compleja y difícil de realizar exhaustivamente.
La creación de una línea de referencia incluye los siguientes pasos:
1. Generar un inventario de hardware (ordenadores y modelos), sistemas operativos y
aplicaciones. Esto incluye las versiones concretas del software y las actualizaciones de
software aplicadas.
2. Usar la información obtenida del inventario para definir líneas de referencia estándar de
software para todos los ordenadores.
3. Realizar una auditoría para determinar qué ordenadores se ajustan a su línea de referencia
y cuáles no; a continuación, decidir si la línea de referencia es demasiado agresiva y es
necesario modificarla.
4. Tomar las medidas necesarias para que los ordenadores que no se ajustan a su línea de
referencia lo hagan. Esto implica la instalación de service packs y otras actualizaciones de
software o incluso actualizar las versiones del software.
5. Auditar el entorno para asegurarse de que se cumplen las líneas de referencia de software.
Puede haber unas pocas excepciones necesarias por razones empresariales que podrán
administrarse caso por caso.

38
Guía Microsoft de Gestión de Parches de Seguridad 39

Las distintas clases de ordenadores (como los servidores de mensajería o los servidores de
directorio) pueden tener distintas líneas de referencia de aplicaciones, pero compartir una línea
de referencia del sistema operativo. Los modelos distintos (como HP y Dell) pueden tener líneas
de referencia diferentes. Debe clasificarse cada ordenador en una línea de referencia de
software definida que incluya el sistema operativo y las aplicaciones.
En repeticiones posteriores, la línea de referencia definirá las líneas de referencia de software
actualizadas que incluirán las nuevas actualizaciones de software, service packs futuros y
nuevas versiones del software.

Nota: En un entorno indisciplinado, el proceso de creación de una línea de referencia puede ser
difícil la primera vez, porque es probable que las versiones del software y las actualizaciones de
software aplicadas estén muy desorganizadas. Sin embargo, sin la creación de una línea de
referencia los resultados del rastreo de vulnerabilidades serían aplastantes y casi imposibles de
gestionar.

Las líneas de referencia de software pueden usarse para crear instalaciones basadas en
imágenes para las nuevas implantaciones informáticas y las reinstalaciones. Las líneas de
referencia de software están también estrechamente relacionadas con, y pueden convertirse en
parte de los estándares de software de su directiva de seguridad. Ambos representan un nivel
estándar de software mínimo determinado como necesario para mantener el entorno seguro y
fiable.
El proceso de creación de una línea de referencia tiene otras ventajas: ayuda a la gestión de
parches de seguridad proporcionando un inventario exhaustivo de los ordenadores y el software
que se usa en pasos posteriores y otras tareas operacionales que van más allá de la gestión de
parches.

Directiva Microsoft del Ciclo de Vida de Soporte de Producto


Microsoft sólo crea actualizaciones de seguridad para los productos soportados. Para garantizar
el acceso a las nuevas actualizaciones de seguridad, las líneas de referencia de software deben
incluir sólo los productos soportados en un service pack reciente. Para más información acerca
de para qué versiones de los productos Microsoft hay soporte actualmente, consulte el Ciclo de
Vida de Soporte de Productos Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;[LN];lifecycle.
Los parches de seguridad se lanzan para los productos soportados en el service pack actual y
en el inmediatamente anterior, cuando es comercialmente viable.

Categorización y Valoración de los Activos


A la hora de la creación de una línea de referencia, es útil identificar varias categorías y
subcategorías de activos que usará después para priorizar con qué rapidez se actualiza cada
uno y para identificar consideraciones especiales de pruebas o implantación, como por ejemplo
los servicios que se ejecutan durante 24 horas al día y siete días a la semana con escasas
oportunidades de mantenimiento.
Tenga presente el coste del tiempo de inactividad y las necesidades de cada clase de activo al
crear las categorías y las subcategorías; use la tolerancia al riesgo para ayudarse a asignar el
nivel de importancia de cada activo. La categorización por funciones técnicas no siempre es
apropiada; por ejemplo, un servidor de base de datos puede almacenar menos información
valiosa que otro, que almacena información crítica para la supervivencia de la empresa.

Nota: Independientemente del valor relativo de cada activo, tenga en cuenta que hay varios
tipos de vulnerabilidades que pueden ser aprovechadas por un ataque de denegación de
servicio, lo cual puede afectar al funcionamiento empresarial incluso a través de activos de
escasa importancia. El objetivo de la gestión de parches de seguridad debe ser tan exhaustivo
como sea posible, para no dejar ningún resquicio a los atacantes.

39
40 Guía Microsoft de Gestión de Parches de Seguridad

Suscripción
La suscripción es el proceso de inscribirse en varios servicios de información para asegurar la
notificación de las vulnerabilidades de software y las actualizaciones de software relacionadas.
El Centro de Respuesta de Seguridad de Microsoft (MSRC) responde a todos los asuntos
relacionados con la seguridad de los productos Microsoft y prepara los boletines de seguridad.
Todas las empresas que usan el software de Microsoft deben suscribirse al Servicio de
Boletines de Seguridad de Microsoft para que se les notifiquen las nuevas vulnerabilidades y las
actualizaciones de software relacionadas. Cuando usted se suscribe al Servicio de Boletines de
Seguridad de Microsoft, puede elegir recibir:
• Alertas técnicas. Para recibir las versiones técnicas de las alertas de seguridad de
Microsoft, suscríbase a la Notificación de Seguridad de Microsoft:
http://www.microsoft.com/technet/security/bulletin/notify.asp.
• Alertas no técnicas. Para recibir las versiones no técnicas de las alertas de seguridad de
Microsoft, suscríbase a la Actualización de Seguridad de Microsoft:
http://register.microsoft.com/subscription/subscribeme.asp?id=166.
Asegúrese de que más de una persona de la empresa recibe las alertas de seguridad para que
usted continúe recibiendo la información que contienen los boletines de seguridad aunque su
profesional TI esté de vacaciones o ausente de la oficina por otro motivo.
Puede buscar boletines de seguridad anteriores en el Servicio de Boletines de Seguridad de
Microsoft:
http://www.microsoft.com/technet/security/current.asp.

Informes de Seguridad
Rastrear y comunicar continuamente los problemas de seguridad es crucial para garantizar la
seguridad de un entorno. Es en este paso del proceso donde se establecen los informes de
seguridad.
Los informes de seguridad más importantes que debe mantener un entorno como información
de entrada para la gestión eficaz de parches de seguridad incluyen:
• Informes de rastreo de seguridad. Puede crear estos informes mediante herramientas
como MBSA (Microsoft Baseline Security Analyzer). También pueden incluir el rastreo de
otras vulnerabilidades, conforme a lo definido por su directiva de seguridad.
• Informes de rastreo de virus. Puede crear estos informes usando las herramientas de
detección de virus seleccionadas por su empresa.
• Informes de detección de intrusiones. Estos informes resumen los resultados de varias
actividades, incluyendo la supervisión de la red y el examen de los registros de eventos, así
como el resultado de cualquier sistema de detección de intrusiones en vigor. Un sistema de
detección de intrusiones es software que ayuda a automatizar el proceso de detección de
intrusiones.
Todos estos informes, junto con las notificaciones de seguridad y otras fuentes de información,
mantienen a la empresa informada de los problemas de seguridad y dirigen el proceso de inicio
del cambio.
La generación de estos informes debe estar tan automatizada como sea posible y producirse
periódicamente; la mayoría de ellos a diario, algunos otros semanalmente. La frecuencia
depende del nivel de automatización y escala conseguido para cada informe, las tecnologías
que se están usando y el nivel de compromiso de su plantilla y de la empresa para con la
protección de su entorno.

40
Guía Microsoft de Gestión de Parches de Seguridad 41

Configuración y Mantenimiento
La infraestructura de gestión de parches abarca todas las herramientas y tecnologías usadas
para mantener el inventario; evaluar los niveles del software; probar, implantar e instalar
actualizaciones de software, y elaborar informes sobre su progreso y los problemas de
seguridad. Esta infraestructura es un instrumento vital para mantener el entorno entero
protegido y fiable. Merece la atención y cuidado oportunos.
Si la infraestructura de gestión de parches es vulnerable, puede ofrecer a un atacante un
alcance significativo dentro de la empresa, proporcionándole la ocasión de impactar sobre
muchos ordenadores en un corto período de tiempo. Debe implantar, configurar y mantener su
infraestructura de gestión de parches buscando un alto nivel de seguridad.

41
42 Guía Microsoft de Gestión de Parches de Seguridad

Inicio del cambio


Esta sección ofrece una descripción general de alto nivel del inicio del cambio, las actividades
continuas que dirigen el proceso de gestión de parches de seguridad. Este asunto se trata con
más detalle en la Parte II, Capítulo 3, “Inicio del cambio”.

Figura 3.3
Inicio del cambio para la Gestión de Parches de Seguridad

42
Guía Microsoft de Gestión de Parches de Seguridad 43

Identificación
La identificación de los problemas de seguridad y las actualizaciones de software relacionadas
es un proceso regular que se basa en diversas fuentes.
Informes de Rastreo de Vulnerabilidades
Estos informes identifican las vulnerabilidades de seguridad relacionadas con los parámetros de
configuración y los niveles del software. El objetivo de la gestión de parches de seguridad debe
ser tener las menores vulnerabilidades de software posibles.
Las vulnerabilidades que están relacionadas con problemas recientemente anunciados suelen
resolverse con un lanzamiento de seguridad. Las vulnerabilidades recurrentes en el entorno y
las configuraciones de seguridad débiles se resuelven forzando el cumplimiento de la directiva
de seguridad.
Boletines de Seguridad
Los boletines de seguridad de Microsoft identifican nuevas vulnerabilidades en un producto,
actualizaciones importantes de boletines anteriores y nuevos virus descubiertos por otros.
Los boletines de vulnerabilidades identifican las actualizaciones de software y las
contramedidas relacionadas. Los boletines de seguridad sobre nuevas vulnerabilidades
importantes suelen ser parte de un lanzamiento de seguridad.
Los boletines de seguridad de Microsoft se vuelven a publicar cuando cambian los niveles de
gravedad. Por ejemplo, el nivel de gravedad puede cambiar si la explotación activa de una
vulnerabilidad se convierte en ampliamente disponible. También se publican de nuevo si se
relanza la actualización de software a la que hacen referencia, resolviendo un problema
cualitativo que pasó desapercibido durante las pruebas que Microsoft hace sobre las
actualizaciones de software.
Si se lanza una nueva versión de la actualización de software, debe determinarse si debe
ponerse a disposición de los clientes en un lanzamiento de seguridad que ya está en marcha o
si debe prepararse otro lanzamiento de seguridad con la actualización de software mejorada.
Directiva de Microsoft sobre los Boletines de Seguridad
Microsoft nunca distribuye software directamente por correo electrónico. Si usted recibe un
mensaje que dice contener software de Microsoft, no ejecute el archivo adjunto: borre el
mensaje.
Para más información sobre estas directivas, consulte las Directivas de Microsoft sobre la
Distribución de Software:
http://www.microsoft.com/technet/security/policy/swdist.asp.
Hay varios mensajes de correo electrónico falsos que afirman provenir de Microsoft. Cuando
reciba un boletín de Seguridad de Microsoft, confirme todos los hipervínculos a actualizaciones
de software visitando la página oficial del Servicio de Boletines de Seguridad de Microsoft:
http://www.microsoft.com/technet/security/current.asp.
Para más información sobre este tipo de mensajes falsos, consulte la Información sobre
Mensajes Falsos de Boletines de Seguridad de Microsoft:
http://www.microsoft.com/technet/security/news/patch_hoax.asp.

43
44 Guía Microsoft de Gestión de Parches de Seguridad

Alertas de Software y Sitios Web


Además de leer los boletines de seguridad y realizar el rastreo de vulnerabilidades, debe visitar
regularmente los sitios Web de productos y tecnologías para ver si se han publicado
recientemente service packs nuevos, consideraciones de seguridad importantes o white papers.
Algunos servicios envían alertas por correo electrónico relacionadas con productos concretos.
El resultado de encontrar nueva información de seguridad, podría ser el inicio de un
lanzamiento de seguridad, investigar si hay que actualizar la directiva de seguridad o reforzarla
o decidir si hay alguna nueva herramienta que pueda resultar útil en el entorno. Las
actualizaciones importantes de software que no estén relacionadas con la seguridad deben ser
el inicio del lanzamiento de una actualización de software.
Conocer varias empresas que hayan sido atacadas por un nuevo virus, gusano u otro ataque
puede ser una buena razón para iniciar proactivamente una respuesta urgente de seguridad.
Esto puede ayudar a minimizar el daño de un futuro ataque y dar a su empresa una buena
disposición.
Informes de Detección de Virus e Intrusiones
La detección de un virus o una intrusión en el entorno indica un ataque en proceso que debe ser
tratado rápidamente.
La respuesta típica ante un ataque es una respuesta urgente de seguridad, aunque usted puede
decidir emplear medidas menos extremas si sabe que el ataque está siendo bien contenido.
Directiva de Microsoft Sobre las Nuevas Vulnerabilidades Descubiertas
Si usted identifica una nueva vulnerabilidad dentro de un producto Microsoft, por favor,
comuníquelo a Microsoft inmediatamente. Contacte con su Technical Account Manager si
dispone del Soporte Premier Microsoft.
Para aquellas empresas que no tienen un acuerdo de Soporte Premier, Microsoft proporciona
un formulario Web en el cual usted puede describir la vulnerabilidad potencial. Microsoft rastrea
todas las vulnerabilidades potenciales. Puede comunicar una Vulnerabilidad Potencial en:
https://www.microsoft.com/technet/security/bulletin/alertus.asp.

Relevancia
Hay que revisar cada problema de seguridad identificado para determinar su relevancia con
respecto al entorno. La revisión debe incluir toda la documentación asociada, como los artículos
de la Knowledge Base (KB). La determinación de su relevancia debe responder a la pregunta:
¿existe esta vulnerabilidad dentro de alguna versión de software concreta en nuestro entorno?
Si la vulnerabilidad existe, es necesario tratarla.

Nota: Una vulnerabilidad mitigada a través de una contramedida (por ejemplo, filtrar puertos o
deshabilitar servicios) continúa siendo una fuente de peligro.
Dado que algunas contramedidas no son exhaustivas, no impiden cualquier tipo de explotación.
Además, si usted cambia sus configuraciones en el futuro, puede que elimine accidentalmente
las medidas. Por estas razones, incluso las vulnerabilidades que han sido mitigadas por
contramedidas continúan considerándose importantes y requieren un lanzamiento de seguridad.
Aunque la existencia de una contramedida puede reducir la prioridad y la planificación
resultante de la implantación de una actualización de software, el problema puede ser
encontrado y ocasionalmente resuelto eliminando la vulnerabilidad subyacente.

44
Guía Microsoft de Gestión de Parches de Seguridad 45

Cuarentena
Para evitar que la infección por virus o el código malintencionado afecten a su infraestructura de
producción, debe descargar y revisar todas las actualizaciones de software en un entorno
aislado y en cuarentena. Debe imponer esta cuarentena sobre todas las descargas de software
y documentación.
La actualización de software que ha estado en cuarentena debe ser la única versión usada
durante la gestión de cambios y lanzamientos.

Nota: Las herramientas de distribución de actualizaciones de software de Microsoft, incluyendo


Software Update Services (SUS) y Systems Management Server (SMS) con el feature pack de
SUS, sólo descargan actualizaciones desde fuentes fiables Microsoft libres de virus y confirman
la autenticidad de las actualizaciones de software comprobando las firmas digitales.
Esta directiva es vista por muchos como una mitigación aceptable de los riesgos asociados con
la descarga de actualizaciones de software. Otras personas pueden exigir un entorno de
cuarentena para las actualizaciones de software descargadas por las herramientas de
actualizaciones de software de Microsoft.

45
46 Guía Microsoft de Gestión de Parches de Seguridad

Lanzamiento de Seguridad
Esta sección proporciona una descripción general de alto nivel de un lanzamiento de seguridad,
la respuesta típica a una nueva vulnerabilidad de software identificada en un entorno. Este tema
se trata con más detalles en la Parte II, Capítulo 4, “Lanzamiento de Seguridad”.

Figura 3.4
Lanzamiento de Seguridad

46
Guía Microsoft de Gestión de Parches de Seguridad 47

Gestión de los Cambios


La gestión de los cambios, en el contexto de un lanzamiento de seguridad, es el proceso de
determinación la respuesta adecuada a una vulnerabilidad de software o amenaza, incluyendo:
• Determinar qué clase de cambio es necesario en el entorno de producción: implantar una
actualización de software, aplicar contramedidas que mitiguen la vulnerabilidad o ambos.
• Describir el cambio necesario para que los demás puedan entenderlo y actuar conforme a
él.
• Priorizar y programar un lanzamiento para implementar el cambio.
• Asegurar que las personas adecuadas autorizan y aprueban el cambio y la planificación
propuesta del lanzamiento.

Escoger las Contramedidas


La mejor respuesta ante una vulnerabilidad de software es implantar la actualización de
software que la repara.
En ocasiones puede que esta respuesta no sea adecuada inmediatamente. Aplicar una
contramedida tiene varias ventajas potenciales:
• Algunas contramedidas pueden aplicarse sin tiempo de inactividad, mientras que algunas
actualizaciones de software requieren un reinicio.
• Algunas contramedidas implican un riesgo menor y pueden aplicarse con más rapidez y
pruebas menos agresivas, a diferencia de algunas actualizaciones de seguridad.
• Generalmente, las contramedidas pueden deshacerse rápidamente si tienen un impacto
accidental, mientras que algunas actualizaciones de software no pueden desinstalarse
fácilmente.
Por estos motivos, las contramedidas se usan preferentemente cuando es necesaria una
respuesta rápida ante una vulnerabilidad (dada la naturaleza peligrosa de su potencial
aprovechamiento) y la actualización de software no puede aplicarse con esa rapidez.
Siempre que implemente un lanzamiento compuesto sólo por contramedidas, debe planificar
también un segundo lanzamiento de seguridad para instalar la actualización de software real y
eliminar la vulnerabilidad subyacente.

Nota: Muchas contramedidas son buenas prácticas de seguridad general. Si comprende


plenamente las contramedidas, plantéese convertirlas en requisitos estándar de seguridad
añadiéndolos a la directiva de seguridad.

Describir el Cambio
Hay varios aspectos de un lanzamiento de seguridad que usted debe entender y ser capaz de
describir, incluyendo:
• ¿Cuál es el cambio? ¿En respuesta a qué vulnerabilidad se produce?
• ¿Qué servicios se verán afectados por el cambio?
• ¿Se está implantando una actualización de software?
• ¿La actualización requiere un reinicio para completar su instalación?
• ¿Se puede desinstalar la actualización de software?
• ¿Debe aplicarse alguna contramedida?
• ¿Cuáles son las estrategias de prueba recomendadas para este cambio?

47
48 Guía Microsoft de Gestión de Parches de Seguridad

Priorizar y Programar el Lanzamiento


La tabla siguiente proporciona algunas directrices para varias prioridades del lanzamiento de
seguridad.
Tabla 3.1: Directrices Temporales de Implantación de los Lanzamientos de Seguridad

Prioridad Plazo Recomendado Plazo Mínimo


Recomendado
1 Dentro de 24 horas Dentro de 2 semanas
2 Dentro de 1 mes Dentro de 2 meses
3 Dependiendo de la disponibilidad, implante un nuevo Implante la actualización de
service pack o rollup de actualizaciones que incluye la software dentro de 6 meses
reparación para esta vulnerabilidad dentro de 4 meses.
4 Dependiendo de la disponibilidad, implante un nuevo Implante la actualización dentro
service pack o rollup de actualizaciones que incluye la de un año; también puede decidir
reparación para esta vulnerabilidad dentro de 1 año. no implantarla.

La priorización y la planificación resultantes del lanzamiento de seguridad deben determinarse


teniendo en cuenta el nivel definido de gravedad MSRC de la vulnerabilidad junto con aspectos
únicos de su entorno.
Un mecanismo simple para determinar la propiedad implica traducir el nivel de gravedad MSRC
de la vulnerabilidad a un nivel de prioridad inicial para el lanzamiento (Tabla 3.2) y, a
continuación, incrementar o disminuir el nivel de prioridad en función de las necesidades de su
empresa y los aspectos únicos de su entorno (Tabla 3.3).
Tabla 3.2: Determinación de la Prioridad Inicial

Nivel MSRC de Gravedad de la Prioridad Inicial


Vulnerabilidad
Crítica 1
Importante 2
Moderada 3
Baja 4

Tabla 3.3: Factores que Pueden Influir en la Prioridad del Lanzamiento

Factor del Entorno o de la Empresa Posible Ajuste de la


Prioridad
Activos en peligro de alto valor o muy expuestos Elevar
Activos que son un objetivo histórico de los atacantes Elevar
Existencia de factores mitigantes, como contramedidas para minimizar la Disminuir
amenaza
Activos en peligro de escaso valor o poco expuestos Disminuir

Para facilitar el impacto sobre los recursos que realizan la gestión del lanzamiento se pueden
combinar múltiples cambios de seguridad para la misma categoría de activo en un solo
lanzamiento. Esto es lo más apropiado para las prioridades 2, 3 y 4, como se muestra en la
Tabla 3.1.

48
Guía Microsoft de Gestión de Parches de Seguridad 49

Gestión del Lanzamiento


El objetivo de la gestión del lanzamiento es facilitar la introducción de los lanzamientos de
software y hardware en los entornos TI administrados. Típicamente, estos entornos TI
administrados incluyen el entorno de producción y los entornos de preproducción administrados.
El proceso de gestión del lanzamiento incluye los siguientes pasos:
• Planificación del lanzamiento. Definir y priorizar todos los requisitos del lanzamiento y
crear los planes necesarios para el mismo, incluyendo el plan de pruebas, el plan de
implementación y el plan de restauración. Estos planes son usados por todos los miembros
del equipo conforme el lanzamiento avanza a través del proceso de gestión.
• Desarrollo del lanzamiento. Seleccionar el mecanismo del lanzamiento y diseñar,
construir y probar el paquete de lanzamiento. El mecanismo debe entregar las
actualizaciones de la forma más eficaz y tener en cuenta la adición de nuevos ordenadores
entre actualizaciones previstas de la línea de referencia.
• Test de aceptación. El objetivo de la prueba, en este punto, será confirmar que el paquete
de lanzamiento funciona correctamente dentro de un entorno de desarrollo. La prueba de
aceptación se centra en cómo funcionan el lanzamiento y el paquete de lanzamiento en un
entorno que refleja fielmente el entorno de producción.
• Planificación y preparación de la implementación. Dar los últimos toques a la
implementación y preparar la infraestructura para el lanzamiento. La preparación de la
implementación requiere la coordinación de los recursos y puede incluir etapas previas de
hardware y software.
• Implantación del lanzamiento. Distribuir e instalar el lanzamiento por toda la empresa.
Esto puede implicar que un piloto introduzca el parche inicialmente en un pequeño grupo de
ordenadores y puede usar o no un enfoque de implantación por fases.

Nota: La prueba de aceptación debe centrarse en cómo funciona el lanzamiento de seguridad


en su entorno concreto. Preste especial atención a la compatibilidad con las aplicaciones de
línea de negocios (LOB) y de proveedores independientes de software (ISV), el hardware o
software antiguo o no soportado, el hardware nuevo y las configuraciones singulares.
Es posible que quiera trabajar estrechamente con los proveedores de software de sus
aplicaciones más importantes para que le ayuden en la prueba de aceptación.

Revisión de los Cambios


El proceso de revisión sirve para confirmar si la implantación del lanzamiento de seguridad ha
tenido éxito, al tiempo que se garantiza que no ha habido un impacto negativo accidental sobre
las operaciones relacionadas. Esto implica comprobar los informes y registros de distribución de
parches, supervisar las llamadas al centro de ayuda y revisar los informes posteriores de
rastreo de vulnerabilidades para asegurarse de que la vulnerabilidad está resuelta.
Es también una oportunidad para revisar cómo ha funcionado el proceso de este lanzamiento
mediante una revisión de la fase posterior a la implementación. ¿Es necesario ajustar algún
detalle de la instalación, el inicio del cambio o la gestión de los cambios y el lanzamiento para
mejorar el proceso la próxima vez?
A pesar de seguir el plan y los procedimientos de prueba adecuados, pueden surgir problemas.
Incluso si no se puede desinstalar una actualización de software determinada, debe haber
identificado un enfoque de restauración para usarlo durante la gestión del lanzamiento en caso
de que el lanzamiento de seguridad no pueda repararse por otros medios.

49
50 Guía Microsoft de Gestión de Parches de Seguridad

Aplicar la Directiva de Seguridad


Esta sección proporciona una descripción general de alto nivel sobre la ejecución de la directiva
de seguridad, la respuesta típica ante las vulnerabilidades recurrentes en un entorno. Este tema
se trata con más detalle en la Parte II, Capítulo 5, “Aplicar la Directiva de Seguridad”.
Las nuevas instalaciones informáticas, el equipo del laboratorio, los usuarios móviles y la
administración descentralizada pueden ser la causa de que una vulnerabilidad previamente
tratada se repita en un entorno.
Tener una directiva de seguridad es, obviamente, un requisito previo para poder forzarla. Una
directiva de seguridad debe incluir definiciones de los niveles de software requeridos, las
actualizaciones de software y las configuraciones de seguridad que cumplen eficazmente el
nivel de tolerancia al riesgo de la empresa.
Los ordenadores que no pueden adherirse a la directiva de seguridad se consideran vulnerables
y una fuente inaceptable de riesgo. El informe de rastreo de seguridad creado anteriormente
puede usarse también para detectar los equipos que no cumplen la directiva de seguridad, para
poder actuar rápidamente.
Los acercamientos a la ejecución de la directiva, las herramientas y las técnicas, incluyendo la
identificación del propietario de un ordenador, la resolución de las vulnerabilidades típicas y
escalar estrategias para resolverlas en un plazo determinado son parte de la ejecución eficaz de
la directiva de seguridad.

50
Guía Microsoft de Gestión de Parches de Seguridad 51

Respuesta Urgente de Seguridad


Esta sección ofrece una descripción general de alto nivel de una respuesta urgente de
seguridad ante un ataque en marcha o que es probable que se produzca en un futuro cercano.
Este asunto se trata con más detalle en la Parte II, Capítulo 6, “Respuesta Urgente de
Seguridad”.
Hay tres áreas principales que deben prepararse previamente a la respuesta urgente de
seguridad:
• Herramientas y prácticas para la auditoría y detección periódica de intrusiones.
• Un equipo de respuesta ante los incidentes identificados con un plan detallado de respuesta
ante incidentes.
• Establecimiento de las acciones posteriores al incidente y un proceso de revisión para
aprender del ataque.
La auditoría y la detección de intrusiones implican la supervisión de la red y su perímetro,
comprobar regularmente los servicios y las configuraciones de los ordenadores y supervisar
periódicamente los registros de eventos en busca de alguna ID de evento concreta repetida en
la empresa. Hay varias herramientas disponibles para asistirle en estas actividades, incluyendo
los sistemas de detección de intrusiones.
El plan formal de respuesta a un incidente describe cómo realizará el equipo de respuesta a
incidentes las siguientes tareas:
• Cómo evaluar el ataque. Debe incluir las áreas por investigar y descubrir.
• A quién debe notificarse el ataque. Esta lista debe incluir a las autoridades competentes.
• Cómo aislar y contener el ataque. Debe incluir las alternativas comunes que pueden
implantarse.
• Cómo analizar y responder ante el ataque. Debe incluir la solución y la gestión de los
cambios acelerados y el lanzamiento.
• Qué debe hacerse después del ataque. Este paso debe incluir la evaluación del impacto,
la repetición del lanzamiento de todos los cambios realizados sobre el entorno de
producción (para detectar problemas causados accidentalmente por cambios rápidos
practicados bajo presión) y una revisión del rendimiento de la empresa durante el ataque.

51
52 Guía Microsoft de Gestión de Parches de Seguridad

Optimizar los Resultados


Esta sección ofrece una descripción técnica de alto nivel de la optimización de los resultados de
la gestión de parches de seguridad. Este asunto se explica con más detalles en la Parte II,
Capítulo 7, “Optimizar los Resultados”.
Después de realizar la gestión de parches de seguridad durante un período, es importante
supervisar y mejorar su progreso. Incluso con la planificación adecuada, habrá mejoras que
puedan definirse con el paso del tiempo.
Hay que revisar todos los elementos de la gestión de parches de seguridad, como la instalación
y el inicio del cambio, además de las respuestas potenciales, incluyendo los lanzamientos de
seguridad, la ejecución de la directiva de seguridad y la respuesta urgente de seguridad.
La gestión de parches de seguridad debe ser una parte estándar de las operaciones generales.
Hay muchos recursos disponibles para ayudar a revisar y mejorar estas operaciones, incluida la
Herramienta de Auto Evaluación de Microsoft Operations Framework:
http://www.microsoft.com/technet/itsolutions/tandp/opex/moftool.asp.
Para aprender más sobre la evaluación de las operaciones y para encontrar servicios de
consultoría que puedan realizar dicha evaluación, consulte la Oferta de Servicios de Evaluación
de Operaciones:
http://www.microsoft.com/solutions/msm/evaluation/overview/opsassessment.asp.

52
Guía Microsoft de Gestión de Parches de Seguridad 53

53
54 Guía Microsoft de Gestión de Parches de Seguridad

4
Herramientas y Tecnologías
Este capítulo destaca las tecnologías que Microsoft pone a su disposición para la gestión de
parches de seguridad y le ayuda a hacer la mejor elección para su empresa.

Resumen Ejecutivo: Distribución de


Actualizaciones de Software
Hay tres elecciones básicas de Microsoft actualmente para la distribución de actualizaciones de
software: Windows® Update (WU), Software Update Services (SUS) 1.0 SP1 y Systems
Management Server (SMS) 2.0 con el Feature Pack de SUS.
Tabla 4.1: Resumen Ejecutivo: WU, SUS y SMS.

Característica Windows Update SUS 1.0 SP1 SMS con el Feature


Pack de SUS
Administración Pobre. Los equipos Buena. Actualizaciones Óptima. Actualizaciones
centralizada instalan las aprobadas por el aprobadas por el
actualizaciones administrador. administrador y orientadas
seleccionadas por el específicamente.
usuario.
Inventario central Pobre. No hay Pobre. No hay inventario ni Óptima. Inventario central
inventario ni evaluación evaluación centrales. personalizable de hardware,
centrales. software y vulnerabilidades
Cobertura de Buena. Todas las Equilibrada*. Parches de Óptima. Distribuye cualquier
software actualizaciones de seguridad, actualizaciones tipo de software o
Windows. Sólo críticas, actualizaciones y actualización de software a
Windows rollups de actualizaciones. los clientes SMS.
Sólo Windows
Coste Gratuito. Gratuito. Con licencia.
Sistemas Buena. Windows 98, Equilibrado. Windows XP, Óptimo. Windows 95,
operativos Windows 98 SE, Windows 2000 y Windows Windows 98, Windows 98
Windows Windows ME, Windows 2003. SE, Windows ME, Windows
XP, Windows 2000 y NT 4.0, Windows XP,
Windows 2003 Windows 2000 y Windows
2003
Informes Pobre. No se hacen de Equilibrado. Algunos Óptimo. Informes Web e
manera centralizada informes centrales a través informes personalizables
de los archivos de registro integrados
Arquitectura e Fácil. Sólo Fácil. Arquitectura del Difícil. La arquitectura y la
instalación configuración cliente, servidor sencilla; fácil instalación de los servicios
sin más infraestructura configuración cliente son complejas
* SUS 1.0 SP1 puede incluir service packs en el futuro que harán que este parámetro pase de Equilibrado a Bueno

54
Guía Microsoft de Gestión de Parches de Seguridad 55

La tabla anterior ofrece una comparación sencilla de las tecnologías en una variedad de
características que pueden ser interesantes para las empresas que quieren automatizar la
gestión de parches de seguridad.

Nota: Windows Update y Software Update Services 1.0 SP1 sólo proporcionan actualizaciones
de software para los sistemas operativos Windows y los componentes Windows (como Internet
Explorer, Microsoft Internet Information Services y Microsoft Windows Media Player), mientras
que las vulnerabilidades de seguridad pueden detectarse en cualquier producto Microsoft.
El 75% de todos los boletines de seguridad de Microsoft han sido para los sistemas operativos y
componentes Windows, lo cual sugiere que WU y SUS ofrecen un soporte equilibrado de
actualización para la mayoría de las actualizaciones de software relacionadas con la seguridad.
En los entornos WU y SUS, hay varios productos Microsoft que deben actualizarse usando
otros servicios, como Office Update, o aplicando manualmente las actualizaciones de software
(incluyendo las actualizaciones de software para Microsoft Exchange y Microsoft SQL Server).
SMS no tiene esta limitación y puede usarse para actualizar cualquier producto de software de
un cliente SMS.

Evaluación e Informes de Actualización de Software


WU y SUS constatarán si una determinada actualización de software es necesaria en todos los
ordenadores, pero no realizarán esta evaluación de forma centralizada ni ofrecerán informes
consolidados sobre la vulnerabilidad. En los entornos WU y SUS, se pueden usar MBSA y la
Herramienta de Inventario de Actualizaciones de Office para evaluar centralmente las
actualizaciones de software y las vulnerabilidades para preparar los informes básicos.
SMS 2.0 con el Feature Pack de SUS incluye las capacidades de MBSA y de la Herramienta de
Inventario de Actualizaciones de Office y ofrece posibilidades centrales y fáciles de usar de
evaluación y elaboración de informes de vulnerabilidades y actualizaciones de software.

55
56 Guía Microsoft de Gestión de Parches de Seguridad

Guía de Productos y Tecnologías Microsoft


Microsoft ofrece a las PYMEs y grandes empresas varias herramientas y servicios para equipar
a los usuarios y administradores con métodos para mantener sus ordenadores fiables y
protegidos.
Herramientas de actualización de software y evaluación de vulnerabilidades de Microsoft:
• Microsoft Baseline Security Analyzer (MBSA). MBSA es un analizador de
vulnerabilidades de seguridad que puede evaluar varios ordenadores en busca de
vulnerabilidades comunes y actualizaciones de software de seguridad sin aplicar.
• Herramienta de Inventario de Actualizaciones de Office. Un analizador de
actualizaciones de software que puede evaluar varios ordenadores en busca de
actualizaciones de software de Office sin aplicar.
Servicios para ordenadores de instalación de actualizaciones de software de Microsoft:
• Windows Update Services (WU). Windows Update es un servicio online que ayuda a
mantener actualizados el sistema operativo y las tecnologías Windows de un ordenador.
• Office Update. Office Update, similar a Windows Update, es un sitio Web que ayuda a
mantener actualizada la suite de productos Microsoft Office de un ordenador.
Servicios de aprobación y distribución de actualizaciones de software para empresas de
Microsoft:
• Software Update Services (SUS). SUS es una extensión del servicio Windows Update
que permite a las empresas mantener y administrar las actualizaciones para todos los
ordenadores Windows ubicados dentro del cortafuegos corporativo.
• Systems Management Server (SMS) 2.0 y el Feature Pack de SUS. SMS es una
solución empresarial de gestión de cambios y configuración de Microsoft. Proporciona un
inventario de software completo, servicios de gestión y sofisticados informes.
El feature pack de SUS proporciona un acceso sencillo a las actualizaciones de software
disponibles a través de Windows Update, Office Update y el Centro de Descarga Microsoft,
a la vez que integra las capacidades de evaluación de MBSA y la Herramienta de Inventario
de Actualizaciones de Office para hacer fácil la gestión de parches de seguridad en
empresas de cualquier tamaño.

Nota: Para obtener una lista exhaustiva de todos los productos Microsoft y las versiones
rastreadas y actualizadas usando estas herramientas, consulte la hoja de cálculo Matriz de
Automatización de Parches de Productos en las Herramientas y Plantillas que acompañan a
esta guía.

56
Guía Microsoft de Gestión de Parches de Seguridad 57

Herramientas de Evaluación de Actualizaciones de Software


y Vulnerabilidades
Microsoft Baseline Security Analyzer (MBSA) 1.1
MBSA se ejecuta sobre los sistemas Windows 2000, Windows XP y Windows Server 2003 y
escanea múltiples ordenadores en busca de vulnerabilidades de seguridad comunes y
actualizaciones de seguridad sin aplicar de acuerdo con la tabla siguiente:
Tabla 4.2: Capacidades de Escaneo de MBSA 1.1.1

Producto ¿Vulnerabilidades ¿Actualizaciones de


comunes de seguridad? seguridad sin aplicar?
Windows NT 4.0 Sí. Sí.
Windows 2000 Sí. Sí.
Windows XP Sí. Sí.
Windows Server 2003 Sí. Sí.
Internet Information Services 4.0, 5.0 y 6.0 Sí. Sí.
SQL Server 7.0 y SQL Server 2000 Sí. Sí.
Internet Explorer 5.01 y posteriores Sí. Sí.
Exchange 5.5 y 2000 Sí.
Windows Media Player 6.4 y posteriores Sí.
Office 2000 y Office XP Sí. *
* Consulte la nota siguiente para información sobre MSBA 1.2 y Office

MBSA proporciona una interfaz gráfica para ver los informes generados por cada ordenador y
también puede manejarse mediante líneas de comando. MBSA copia un archivo XML
almacenado en el Centro de Descarga Microsoft para garantizar una lista actualizada de los
detalles de evaluación para las nuevas actualizaciones de software de seguridad.

Nota: MBSA 1.2 incluirá las capacidades de escaneo de actualizaciones de Office de la


Herramienta de Inventario de Actualizaciones de Software de Office.

Para Más Información


Microsoft Baseline Security Analyzer:
http://www.microsoft.com/technet/security/tools/tools/mbsahome.asp.

Herramienta de Inventario de Actualizaciones de Office


La Herramienta de Inventario de Actualizaciones de Office permite a los administradores
comprobar en uno o más ordenadores el estado de las actualizaciones de Microsoft Office 2000
y Office XP. Los administradores pueden ejecutar la herramienta desde una ubicación central
para comprobar el estado de múltiples ordenadores.
La herramienta produce un informe usado para determinar qué actualizaciones se han aplicado,
cuáles están disponibles para su aplicación y cuáles pueden ser aplicadas sólo a una imagen
administrativa.
Para Más Información
Herramienta de Inventario de Actualizaciones de Office:
http://www.microsoft.com/office/ork/xp/journ/OffUTool.htm.

57
58 Guía Microsoft de Gestión de Parches de Seguridad

Servicios de Instalación de Actualizaciones de Software para


Ordenadores
Windows Update
Windows Update es un servicio gratuito para mantener actualizados los ordenadores Windows
con las actualizaciones de seguridad más recientes. Windows Update consta de tres
componentes: el sitio Web de Windows Update, el cliente Automatic Update y el Catálogo de
Windows Update.
Sitio Web Windows de Update
Millones de personas usan cada semana el sitio Web Windows Update para mantener
actualizados sus sistemas Windows. Cuando los usuarios se conectan al sitio de Windows
Update, su ordenador es evaluado para comprobar qué actualizaciones de software y
controladores actualizados de dispositivos (en el programa Logo “Diseñado para Windows”)
deben aplicarse para mantener su sistema seguro y fiable.
Windows Update puede notificar automáticamente a los usuarios si hay actualizaciones y
parches de seguridad críticos a través del cliente Automatic Updates, sin visitar el sitio Web de
Windows Update.
Cliente Automatic Updates
Disponible en Windows 2000 SP3, Windows XP Home Edition y Windows XP Professional, el
cliente Automatic Updates proporciona servicios de notificación para Windows Update y una
interfaz de usuario para configurar las preferencias de descarga e instalación automatizadas.

Nota: El cliente Notificación de Actualización Crítica (CUN) presentado en el Kit de


Herramientas de Seguridad ya está obsoleto. Si aún no lo ha hecho, actualice a Windows 2000
SP3 o posterior para usar el cliente Automatic Updates más reciente.

Catálogo de Windows Update


El sitio Web de Windows Update incluye un catálogo de todos los paquetes de instalación de
actualizaciones de software para que los administradores los descarguen.
Estos paquetes de instalación de actualizaciones de software pueden almacenarse en CD,
distribuirse o instalarse a través de otros medios, como SMS o herramientas de distribución de
software de terceras partes, o usarse cuando se instalen nuevos ordenadores.
Para Más Información
Preguntas Frecuentes sobre Windows Update:
http://support.microsoft.com/support/windows/update/faq.
Catálogo de Windows Update:
http://windowsupdate.microsoft.com/catalog.
Programa Logo Diseñado para Windows:
http://www.microsoft.com/winlogo.
Office Update
El sitio Web de Actualizaciones de Producto de Microsoft Office está diseñado para determinar
qué suite de Office está instalada en su ordenador y, después, ofrecerle las actualizaciones de
software que no ha instalado para las aplicaciones incluidas en la suite. Office Update está
disponible para las versiones de Office 2000 y posteriores. Los productos de Office soportados
incluyen Word, Outlook PowerPoint, Access, FrontPage, Publisher, InfoPath, OneNote, Visio y
Microsoft Project.
Office Update funciona de manera similar a Windows Update, salvo que no hay una notificación
automática para Office como la que el cliente Automatic Updates ofrece para Windows.

58
Guía Microsoft de Gestión de Parches de Seguridad 59

Centro de Descarga de Office


Como el Catálogo de Windows Update, el Centro de Descarga de Office proporciona un
catálogo exhaustivo de los paquetes de actualizaciones de software que puede descargar,
almacenar, distribuir e instalar como usted quiera.
Para Más Información
Sobre las Acualizaciones de Productos de Office:
http://office.microsoft.com/productupdates/aboutproductupdates.aspx.
Centro de Descarga de Office:
http://office.microsoft.com/downloads.

Servicios de Distribución de Actualizaciones de Software


para Empresas
Software Update Services 1.0 SP1
Software Update Services (SUS) 1.0 SP1 es una versión de Windows Update diseñada para las
empresas que quieren aprobar cada actualización de software antes de instalarla en su entorno.
SUS permite a los administradores implantar muy fácil y rápidamente los parches de seguridad,
las actualizaciones críticas, las actualizaciones y los rollups de actualizaciones relacionados con
Windows en cualquier ordenador que ejecute Windows 2000, Windows XP Professional o
Windows Server 2003.
SUS incluye las siguientes capacidades:
• Las actualizaciones de software pueden aprobarse en cada servidor SUS individualmente,
lo cual permite probarlas en un entorno separado, así como su implantación por fases en la
empresa.
• Las actualizaciones de software pueden distribuirse mediante SUS (ahorrando ancho de
banda en las conexiones a Internet compartidas) o se pueden configurar los clientes SUS
para descargar las actualizaciones de software desde Windows Update.
• SUS puede proporcionar muchas actualizaciones de software de Windows Update a
ordenadores que no tienen acceso a Internet.
• La arquitectura del servidor SUS está compuesta por relaciones principal-secundario
simples y puede escalarse para los entornos muy grandes: cada servidor SUS puede
soportar hasta 15.000 clientes.
• Las actualizaciones de software pueden copiarse mediante un CE desde un servidor SUS
conectado a Internet a una arquitectura de servidor SUS sin acceso a Internet.
Los servidores SUS requieren Windows 2000 o Windows Server 2003, Internet Information
Services y el puerto 80 para comunicarse con los clientes SUS. Todos los servidores SUS
pueden configurarse para sincronizar los paquetes de actualizaciones de software y las
aprobaciones manual o automáticamente desde su servidor SUS principal, lo cual permite más
flexibilidad en el mantenimiento del entorno.
Los clientes SUS usan exactamente el mismo cliente Automatic Updates que usa Windows
Update. Los clientes se configuran para conectarse a servidores concretos y pueden
configurarse también para instalar automáticamente las actualizaciones de software o para
indicárselo al usuario final.

Nota: SUS sólo proporciona los parches de seguridad, actualizaciones críticas, actualizaciones
y rollups de actualizaciones disponibles desde Windows Update. Los service packs podrán estar
disponibles a través de SUS próximamente. Las actualizaciones de controladores de
dispositivos no se ofrecen a través de SUS.

59
60 Guía Microsoft de Gestión de Parches de Seguridad

Para Más Información


Preguntas Frecuentes sobre Software Update Services:
http://www.microsoft.com/windows2000/windowsupdate/sus/susfaq.asp.
White paper: Implantación de Software Update Services:
http://www.microsoft.com/windows2000/windowsupdate/sus/susdeployment.asp.
Guías MSM (Microsoft Solutions for Management) de Gestión de Parches para Software Update
Services:
• Guía de Arquitectura: http://go.microsoft.com/fwlink/?LinkId=17690.
• Guía de Pruebas: http://go.microsoft.com/fwlink/?LinkId=17693.
• Detalles del Test Case: http://go.microsoft.com/fwlink/?LinkId=17694.
• Guía de Implantación: http://go.microsoft.com/fwlink/?LinkId=17691.
• Guía de Operaciones: http://go.microsoft.com/fwlink/?LinkId=17692.

Systems Management Server 2.0 y el Feature Pack de SUS


Con Systems Management Server (SMS) 2.0 y el Feature Pack de SUS, los administradores
pueden gestionar fácilmente las actualizaciones de seguridad en toda la empresa. SMS ya era
capaz de distribuir todo tipo de software, pero el Feature Pack de SUS añade funcionalidades
que agilizan el proceso de gestión de parches de seguridad.
SMS incluye capacidades de inventario exhaustivo y evaluación de vulnerabilidades y
actualizaciones de software, así como informes basados en Web para mostrar el cumplimiento y
los resultados de la instalación y asistentes que simplifican la gestión de parches de seguridad.
El Feature Pack de SUS para SMS 2.0 está diseñado para evaluar e implantar rápida y
eficazmente los parches de seguridad para Windows, Office y otros productos escaneados por
el MBSA. El Feature Pack proporciona a SMS las siguientes nuevas herramientas:
• Herramienta de Inventario de Actualizaciones de Seguridad
• Herramienta de Inventario de Microsoft Office para Actualizaciones
• Asistente de Distribución de Actualizaciones de Software
• Add-in de Informes Web para Actualizaciones de Software
Herramienta de Inventario de Actualizaciones de Seguridad
La Herramienta de Inventario de Actualizaciones de Seguridad se basa en las capacidades de
inventario de SMS y aprovecha la potencia de MBSA para escanear cada cliente en busca de
actualizaciones de seguridad. Los datos resultantes se incluyen en el directorio de SMS y
pueden verse también a través de los informes basados en Web.
Herramienta de Inventario de Microsoft Office para Actualizaciones
La Herramienta de Inventario de Microsoft Office para Actualizaciones usa la Herramienta de
Inventario de Microsoft Office existente para realizar escaneos automáticos y continuos de los
clientes SMS en busca de las actualizaciones de Office aplicables o instaladas. Estos datos se
convierten y se incluyen en el inventario de SMS y pueden verse también a través de los
informes basados en Web.
Asistente de Distribución de Actualizaciones de Software
El Asistente de Distribución de Actualizaciones de Software compara las actualizaciones
disponibles con el inventario de los ordenadores clientes para determinar las actualizaciones
que faltan y las instaladas anteriormente. Sólo se instalan las actualizaciones necesarias,
mientras que se ignoran o posponen las actualizaciones redundantes o innecesarias,
reduciendo así el espacio requerido por el sistema.

60
Guía Microsoft de Gestión de Parches de Seguridad 61

El Asistente de Distribución de Actualizaciones de Software ofrece las siguientes capacidades:


• Actualizar el estado de todos los clientes añadidos al inventario, basándose en la
información de las nuevas actualizaciones de seguridad.
• Revisar y autorizar las actualizaciones que faltan por aplicar.
• Paquetes y avisos a medida para cada actualización o conjunto de actualizaciones.
• Los avisos de actualización se distribuyen a los ordenadores usando las capacidades de
distribución de software de SMS.
• Notificación similar a las de Windows Update y una buena experiencia para el usuario final,
como por ejemplo no forzar el cierre de las aplicaciones si los trabajos no se han guardado.
• Contadores que permiten a los usuarios guardar y cerrar las aplicaciones y, opcionalmente,
les permiten posponer las actualizaciones o decidir no reiniciar su sistema.
Add-in de Informes Web para Actualizaciones de Software
El Add-in de Informes Web para Actualizaciones de Software proporciona una solución de
informes para la gestión de parches, permitiendo que los datos y los informes del inventario se
vean en un explorador Web.
Los informes prediseñados disponibles desde el Add-in de Informes Web ayudan a seguir el
estado de las actualizaciones de software para:
• Actualizaciones individuales o grupos de actualizaciones.
• Ordenadores individuales o grupos de ordenadores.
• Todas las actualizaciones o todos los ordenadores de una empresa.
• Parches por sistema operativo.
• Velocidad de detección de actualizaciones concretas.
• Actualizaciones aplicables clasificadas por tipo.
También pueden crearse recopilaciones e informes de inventario personalizados.
Para Más Información
Descripción General del Feature Pack SUS y Software Update Services:
http://www.microsoft.com/smserver/evaluation/overview/featurepacks/fpfaq.asp.
Guía de Implantación de Software Update Services SMS:
http://go.microsoft.com/fwlink/?LinkId=17452.
Sitio Web de Systems Management Server:
http://www.microsoft.com/smserver.
Cómo funciona el Feature Pack de SUS con SMS:
http://www.microsoft.com/smserver/techinfo/administration/20/using/suspackhowto.asp.
Gestión de Actualizaciones de Software con SMS 2.0 y el Feature Pack de SUS:
Guías MSM (Microsoft Solutions for Management) de Gestión de Parches para Systems
Management Server (SMS):
http://www.microsoft.com/technet/prodtechnol/sms/deploy/confeat/smsfpdep.asp.
• Guía de Arquitectura: http://go.microsoft.com/fwlink/?LinkId=17684.
• Guía de Pruebas: http://go.microsoft.com/fwlink/?LinkId=17687.
• Detalles del Test Case: http://go.microsoft.com/fwlink/?LinkId=17688.
• Guía de Implantación: http://go.microsoft.com/fwlink/?LinkId=17686.
• Guía de Operaciones: http://go.microsoft.com/fwlink/?LinkId=17689.

61
62 Guía Microsoft de Gestión de Parches de Seguridad

Apéndice A
Herramientas y Recursos de
Terceros
Este apéndice enumera algunas herramientas de terceros relacionadas con la gestión de
parches de seguridad.
Hay varias categorías de herramientas que no se repiten en este apéndice, incluyendo la
protección antivirus, la seguridad en bases de datos, la encriptación, la seguridad en redes e
Internet (incluidos los cortafuegos), las herramientas de infraestructura empresarial, la copia de
seguridad y la gestión empresarial y de red. Estas categorías se explican online en el Catálogo
Windows de Software:
http://www.microsoft.com/windows/catalog/default.aspx?subid=22&xslt=software.
Las siguientes categorías no están bien representadas en el catálogo online, por lo que se
incluyen en este apéndice:
• Gestión de parches.
• Sistemas de detección de intrusiones
• Investigación legal.
• Herramientas de escaneo y enumeración de puertos.

Nota: Las siguientes listas de productos no son exhaustivas ni están respaldadas por Microsoft.

62
Guía Microsoft de Gestión de Parches de Seguridad 63

Gestión de Parches
Tabla A.1: Productos de Gestión de Parches de Terceros

Producto Empresa Sitio Web

BigFix Patch Manager BigFix www.bigfix.com


by-Control for Windows BindView www.bindview.com
Ecora PatchLite y Ecora Patch Manager Ecora www.ecora.com
Service Pack Manager Gravity Storm Software www.securitybastion.com
RealSecure Vulnerability Assessment Internet Security Systems www.iss.net
PatchLink Update 4.0 PatchLink www.patchlink.com
HFNetCHkLt y HTNetChkPro Shavlik www.shavlik.com
UpdateEXPERT St. Bernard Software www.stbernard.com

Nota: Muchas herramientas de gestión empresarial y distribución de software pueden adaptarse


para implantar actualizaciones de software. Estas herramientas se enumeran en el Catálogo
Windows de Software y no se repiten aquí.

63
64 Guía Microsoft de Gestión de Parches de Seguridad

Software de Seguridad
La tabla siguiente enumera varios productos útiles para la detección de intrusiones, la
investigación legal y el escaneo y enumeración de puertos.
Tabla A.2: Productos de Seguridad de Terceros

Producto Empresa Sitio Web

NMap para Windows www.nmapwin.org


Captus IPS Captus Networks www.captusnetworks.com
PureSecure Demarc Security www.demarc.com
Superscan y Scanline Foundstone www.foundstone.com
LANguard Network Scanner GFI www.gfi.com
EnCase Enterprise y EnCase Forensic Guidance Software www.guidancesoftware.com
RealSecure Intrusion Protection Internet Security Systems www.iss.net

64
Guía Microsoft de Gestión de Parches de Seguridad 65

65
66 Guía Microsoft de Gestión de Parches de Seguridad

Parte II
El Ciclo de Vida de la Gestión de
Parches de Seguridad

66
Guía Microsoft de Gestión de Parches de Seguridad 67

67
68 Guía Microsoft de Gestión de Parches de Seguridad

1
Introducción
Descripción General del Ciclo de Vida de la
Gestión de Parches de Seguridad

Figura 1.1
Descripción General del Ciclo de Vida de la Gestión de Parches de Seguridad
El ciclo de vida de la gestión de parches de seguridad se compone de varias actividades
puntuales, continuas y conforme a sus necesidades que se repiten como parte del
funcionamiento normal.
Todas estas actividades se tratan con más detalle en esta Parte de la guía, que ofrece
información sobre el proceso, técnicas, herramientas y plantillas que pueden ayudar a las
empresas a establecer una gestión eficaz de parches de seguridad.

Nota: La Lista de Tareas de Gestión de Parches de Seguridad incluida en las Plantillas y


Herramientas que acompañan a esta guía ofrece una lista rápida de las tareas que se realizan
durante el ciclo de vida de la gestión de parches de seguridad. Adicionalmente, todos los
diagramas de proceso de esta guía se ofrecen en el diagrama Ejemplos de Procesos de
Seguridad que también se incluye.

68
Guía Microsoft de Gestión de Parches de Seguridad 69

Actividades Puntuales
Instalación
Las actividades de instalación son necesarias para soportar adecuada y eficazmente la gestión
de parches de seguridad. La instalación incluye:
• Realizar un inventario y crear una línea de referencia del entorno.
• Suscribirse a las alertas de seguridad y otras fuentes de información.
• Establecer informes de seguridad para ayudar a identificar los problemas.
• Configurar y mantener la infraestructura de gestión de parches.
La instalación se realiza generalmente conforme cambia su entorno con la introducción de
nuevo hardware o software (el mantenimiento se realiza más frecuentemente para asegurar que
la infraestructura de gestión de parches permanece protegida y fiable).
Las actividades de instalación se abordan en la Parte II, Capítulo 2, “Instalación”.
Optimización de los Resultados
La optimización de los resultados es el proceso puntual de examinar los indicadores y
resultados de la gestión de parches de seguridad a través de la evaluación del funcionamiento o
de la seguridad. Este proceso puede hacerse sólo para la gestión de parches de seguridad, o
puede incluirse ésta como parte de una evaluación más exhaustiva.
Idealmente, el resultado de una evaluación de la gestión de parches de seguridad incluye:
• Un sumario actualizado del rendimiento de la gestión de parches de seguridad.
• Una lista con prioridades de las acciones recomendadas que tendrán un impacto positivo
sobre los resultados futuros.
La optimización de resultados se realiza trimestralmente, por lo general (evaluación rápida) y
anualmente (evaluación rigurosa), o según lo requieran las mejoras en el rendimiento.
La optimización de resultados se trata en la Parte II, Capítulo 7, “Optimización de resultados”.

Actividades Continuas
Inicio de los Cambios
El inicio del cambio se realiza generalmente diaria o semanalmente e incluye las siguientes
actividades:
• Revisar periódicamente los sitios Web y las notificaciones e informes de seguridad para
identificar las nuevas actualizaciones de software y los nuevos problemas de seguridad.
• Determinar la relevancia de las actualizaciones y problemas del entorno.
• Descargar y poner en cuarentena las nuevas actualizaciones de software para su uso en
etapas posteriores.
• Iniciar una respuesta que afronte adecuadamente el problema de seguridad.
El inicio del cambio se trata en la Parte II, Capítulo 3, “Inicio del cambio”.

69
70 Guía Microsoft de Gestión de Parches de Seguridad

Actividades Según sus Necesidades


Las siguientes actividades son las respuestas típicas a los problemas de seguridad identificados
o a nuevas actualizaciones de software relacionadas con la gestión de parches de seguridad.
Lanzamiento de Seguridad
El lanzamiento de un parche de seguridad o de una contramedida relacionada es la respuesta
más frecuente ante la identificación de una nueva vulnerabilidad de seguridad en un entorno.
Un lanzamiento de seguridad sigue el proceso básico de lanzamiento, que incluye:
• Gestión de los cambios. El proceso de comprender el problema, categorizar y priorizar el
cambio y conseguir la aprobación para realizar un cambio en el entorno de producción.
• Gestión del lanzamiento. El proceso de planificar, desarrollar, probar e implantar un cambio
en el entorno de producción.
• Revisión de los cambios. Este paso puede incluir la restauración, si fuese necesaria debido
a un impacto negativo sobre la empresa o a otras razones cualitativas.
La realización de un lanzamiento de seguridad se trata en la Parte II, Capítulo 4, “Lanzamiento
de Seguridad”.
Aplicar la Directiva de Seguridad
Muy pocos entornos TI están administrados centralmente en su totalidad a través de un proceso
disciplinado que garantiza el cumplimiento continuo de la directiva de seguridad.
Cada vez que se hacen cambios no administrados en el entorno de producción, existe la
posibilidad de que se introduzcan o reintroduzcan vulnerabilidades en él.
Las nuevas instalaciones informáticas, el equipo del laboratorio, los usuarios móviles, los
usuarios administrativos, la administración descentralizada o federada y la gestión indisciplinada
de cambios y lanzamientos pueden ser la causa de que las vulnerabilidades tratadas
anteriormente se repitan en un entorno.
Las vulnerabilidades recurrentes tienen más probabilidades de ser explotadas por virus,
gusanos y herramientas de ataque que escanean ordenadores de forma remota en busca de
debilidades de seguridad y vulnerabilidades publicadas.
Durante la gestión de parches de seguridad, los informes periódicos de escaneo de
vulnerabilidades deben detectar todas las vulnerabilidades que violen la directiva de seguridad
de la empresa.
Las vulnerabilidades que se repiten en el entorno deben ser manejadas por el equipo de
servicios mediante un proceso de respuesta estándar ante incidentes, con una estrategia de
escala asociada y límites temporales si la vulnerabilidad no se puede tratar adecuadamente.
La ejecución de la directiva de seguridad se trata en la Parte II, Capítulo 5, “Aplicar la Directiva
de Seguridad”.
Respuesta Urgente de Seguridad
Este capítulo describe cómo prepararse para una emergencia provocada por la explotación de
vulnerabilidades de seguridad y la información, prácticas recomendadas y pasos críticos
necesarios para responder eficazmente si la tecnología de la información de su empresa está
en peligro o sufriendo un ataque.
La respuesta urgente de seguridad se trata en la Parte II, Capítulo 6, “Respuesta Urgente de
Seguridad”.

70
Guía Microsoft de Gestión de Parches de Seguridad 71

Lanzamiento de Actualizaciones de Software


En esta guía no se habla específicamente de los lanzamientos de actualizaciones de software
no relacionados con la seguridad.
Sin embargo, la implantación de una actualización de software no relacionada con la seguridad
se puede realizar de un modo similar al de un lanzamiento de seguridad, que se explica en la
Parte II, Capítulo 4, “Lanzamiento de seguridad”.

Gestión de Parches de Seguridad y Gestión del Riesgo


La gestión de parches de seguridad es el proceso de la aplicación de actualizaciones de
software y contramedidas relacionadas para mitigar el riesgo de que futuros ataques exploten
las vulnerabilidades de seguridad de su entorno. Por definición, la gestión de parches de
seguridad es una actividad de gestión del riesgo.
De acuerdo con esto, se pueden aplicar técnicas de gestión del riesgo a muchas actividades de
la gestión de parches de seguridad. Éstos son algunos ejemplos:
• La prioridad y el limite de tiempo resultante para el lanzamiento de un parche de seguridad
puede determinarse de una forma similar al modo en que se prioriza y mitiga un riesgo.
• Las estrategias y límites temporales de escala son una estrategia de mitigación del riesgo a
la hora de aplicar la directiva de seguridad.
• Prepararse proactivamente para una respuesta urgente de seguridad es un ejemplo de
planificación ante contingencias.
• Seleccionar una estrategia de prueba para las actualizaciones de software es una manera
de mitigar el riesgo de que una actualización de seguridad tenga un impacto negativo sobre
su entorno.
Esta guía no proporciona detalles sobre el proceso genérico de gestión del riesgo, sino que se
centra meramente en los elementos necesarios de la gestión de parches de seguridad. Sin
embargo, es útil entender la relación entre la gestión del riesgo y la gestión de parches de
seguridad: puede que su empresa quiera ser más disciplinada usando la gestión del riesgo
como parte de su estrategia global de seguridad.

Nota: Para más información sobre la gestión del riesgo, consulte los siguientes recursos.
Entender la Disciplina de la Gestión de Riesgos de Seguridad:
http://www.microsoft.com/technet/security/prodtech/windows/secwin2k/03secrsk.asp
Modelo de Riesgo para Operaciones de Microsoft Operations Framework:
http://www.microsoft.com/technet/itsolutions/tandp/opex/mofrl/mofrisk.asp

71
72 Guía Microsoft de Gestión de Parches de Seguridad

Introducción a las Técnicas


En la Parte II de esta guía, los Capítulos 2, “Instalación” y 4, “Lanzamiento de seguridad”
incluyen una sección de Técnicas al final de cada uno.
Las técnicas ofrecen orientación técnica prescriptiva y aúnan varios recursos para ayudar a dar
soporte a una actividad técnica. Las técnicas suelen hacer referencia al uso de una tecnología o
herramienta de software, o a una de las Herramientas y Plantillas que acompañan a esta guía.
Las técnicas se ofrecen al final de cada uno de estos dos capítulos para permitir a los lectores
entender primero el proceso y después ejecutarlo usando las herramientas adecuadas y
siguiendo una técnica. En los casos en los que las herramientas cuyas capacidades de solapan,
las técnicas pueden tener objetivos similares, pero usar herramientas distintas.
Si usa herramientas de terceras partes para la evaluación o distribución de parches, puede que
encuentre útiles estas técnicas en su entorno. No obstante, los detalles del proceso y la
directiva para cada capítulo son prácticos y, generalmente, los mismos independientemente de
qué herramienta use.
Cada sección de Técnicas comienza con una tabla que resume las técnicas disponibles en ese
capítulo e indica para qué infraestructura Microsoft de distribución de parches es apropiada esa
técnica: Microsoft Windows® Update (WU), Software Update Services (SUS) o Systems
Management Server (SMS). Las técnicas pueden ser adecuadas para más de un entorno.
A lo largo de la sección de técnicas, se presenta cada una con la información siguiente:
Entorno: La(s) infraestructura(s) Microsoft de distribución de parches para la(s) que
es apropiada la técnica (WU, SUS o SMS).
Propósito: Descripción de la tarea que la técnica ayuda a conseguir.
Prerrequisitos: Lista de las herramientas y capacidades necesarias antes de poder usar la
técnica.
Escala: Indicación del nivel de escala para el que es adecuada la técnica y cómo
debería escalarse de forma diferente.

Las técnicas proporcionadas en esta guía no son exhaustivas. Algunas empresas tendrán más
o menos trabajo en función de las soluciones de gestión que ya tengan en marcha.
Por ejemplo, se presupone que es más probable que las empresas grandes tengan ya
implantada una solución para gestionar su inventario informático. Las técnicas de WU y SUS
descritas en esta guía pueden ayudar a recopilar un inventario básico en un entorno pequeño o
medio, pero no se han escalado para reemplazar la funcionalidad que ofrece una solución
empresarial de gestión de los cambios y la configuración como SMS:
Cualquier empresa TI está bien equipada teniendo una solución de gestión de cambios y
configuración para dar soporte a la gestión de parches de seguridad y a muchas otras
actividades operacionales.

Nota: Las técnicas ofrecidas en esta guía pretenden ser ejemplos prescriptivos. Debe entender
y probar a fondo cada técnica y sus herramientas para ver si tendrá algún impacto antes de
usarla en su entorno de producción.

72
Guía Microsoft de Gestión de Parches de Seguridad 73

2
Instalación
Resumen
Las secciones siguientes describen las actividades críticas de instalación necesarias para la
correcta implementación de la gestión de parches en una empresa. Estas actividades incluyen
la configuración inicial de los clientes, la creación de referencias del sistema, la suscripción a
mecanismos de alerta de seguridad y la implementación de métodos de escaneo, detección e
informe de vulnerabilidades.

Figura 3.1
Actividades de Instalación para la Gestión de Parches de Seguridad
Al final de este capítulo se esbozan técnicas para completar estas actividades de instalación.

73
74 Guía Microsoft de Gestión de Parches de Seguridad

Configurar y Mantener la Infraestructura


Todas las empresas, independientemente de su tamaño, deben usar herramientas
automatizadas que permitan a los administradores controlar las actualizaciones disponibles y
les ofrezcan cierto control sobre la instalación de parches de seguridad.
En primer lugar, debe asegurarse de que su infraestructura de gestión de parches está
configurada y documentada adecuadamente. Con la infraestructura en funcionamiento,
necesitará implementar los mecanismos necesarios para que los clientes puedan usar la
infraestructura correctamente.

Nota: Puede personalizar eficazmente los parámetros de configuración del cliente Automatic
Updates (AU) para los ordenadores de su entorno usando varios métodos. Personalizar los
parámetros de configuración le permite controlar cómo interactúan sus clientes con algunas de
las tecnologías de gestión de parches de Microsoft. Para más información sobre algunos
métodos para configurar clientes, vea:
Cómo Configurar Automatic Updates Usando la Directiva de Grupo o los Parámetros del
Registro:
http://support.microsoft.com/?kbid=328010.
Además, la sección de técnicas al final de este capítulo le ofrece un método simple para
configurar remotamente los clientes AU.

74
Guía Microsoft de Gestión de Parches de Seguridad 75

Creación de una Línea de Referencia


Una línea de referencia (baseline) es la configuración de un producto o sistema establecida en
un momento específico. Una línea de referencia de aplicaciones o de software, por ejemplo, le
ofrece la posibilidad de devolver un ordenador a un estado concreto. Puede ser necesario
establecer líneas de referencia para distintas aplicaciones de software, proveedores de
hardware o tipos de ordenador, Por ejemplo, la línea de referencia definida para los servidores
HP que ejecutan Windows 2000 puede ser distinta de la línea de referencia definida para los
servidores Dell.
Para crear una línea de referencia, es necesario que antes realice y mantenga un inventario
fiable de los ordenadores y servicios de su entorno. A menudo, los parches se aplican de forma
incoherente en una empresa y hay poca o ninguna documentación sobre las razones para
implantar un parche y los ordenadores a los que se orienta la implantación de un parche. Para
crear las líneas de referencia necesarias, debe, como mínimo, saber lo siguiente sobre su
entorno:
• Sistemas operativos. ¿Qué sistemas operativos y versiones están presentes en su entorno?
• Software. ¿Qué programas de software en concreto y versiones se usan en su entorno?
• Parches. ¿Qué versiones de service packs, actualizaciones de software y cambios de
configuración, como modificaciones del registro, se dan en su entorno?
• Información de contacto. ¿Cómo puede contactar con las personas o grupos responsables
de mantener los sistemas de su entorno?
• Contramedidas. ¿Qué contramedidas se han implantado en su entorno para afrontar las
vulnerabilidades de seguridad?
• Activos. ¿Qué activos de hardware y software existen en su entorno y cuál es su valor
relativo?

Nota: le recomendamos encarecidamente que ponga esta información de inventario a


disposición de todos los implicados en su proceso de gestión de parches y que se asegure de
mantenerla actualizada.

Las líneas de referencia operacionales incluyen todo el software que los distintos tipos de
ordenadores necesitan para funcionar de forma segura en su entorno de producción. Incluyen la
versión del sistema operativo y las versiones de las aplicaciones además de todas las
actualizaciones de software necesarias. Puede que necesite varias líneas de referencia,
dependiendo de los distintos tipos de hardware y software implantados en su entorno.
Las categorías de líneas de referencia pueden ser distintas, en función de varios factores,
incluyendo el número de equipos de cada categoría, el software que suelen usar y el coste que
tendría actualizar la línea de referencia a un cierto nivel. Defina cada nueva categoría cuando
los componentes de software se desvíen significativamente de una línea de referencia.
Debe usar las líneas de referencia durante las instalaciones iniciales de los ordenadores.

75
76 Guía Microsoft de Gestión de Parches de Seguridad

Una vez recopilado el inventario, defina líneas de referencia que reflejen las necesidades de su
entorno de producción.

Nota: Para ayudarle a reducir el tiempo necesario para introducir ordenadores nuevos en su
entorno de forma segura, asegúrese de incorporar las líneas de referencia que ha construido en
sus procesos de implantación automatizada de ordenadores (por ejemplo, las instalaciones
desatendidas, RIS –Remote Installation Services- o las instalaciones basadas en imagen).
Una práctica recomendada es que cree una biblioteca de software definitivo para almacenar las
imágenes del sistema y todo el software implantado en su entorno en una ubicación central,
donde pueda ser localizado fácilmente para realizar instalaciones y planificar contingencias.

Este capítulo incluye técnicas que pueden usarse para ayudar a crear líneas de referencia en
los entornos Windows Update (WU), Software Updates Services (SUS) y Microsoft Systems
Management Server (SMS). Consulte la sección de técnicas, al final de este capítulo, para más
información.

Directiva Microsoft de Ciclo de Vida de Soporte del Producto


Microsoft sólo crea actualizaciones de seguridad para los productos soportados. Para
asegurarse de acceder a las nuevas actualizaciones de seguridad, las líneas de referencia de
software deben incluir sólo productos soportados en un service pack reciente. Para más
información acerca de las versiones soportadas actualmente de productos Microsoft, consulte el
Ciclo de Vida de Soporte de Producto Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;[LN];lifecycle.
Los parches de seguridad para los productos soportados se lanzan en el service pack actual y
en el inmediatamente anterior, cuando es comercialmente viable.
Actualiza sus líneas de referencia para que incluyan los service packs siempre que sea posible.
Hacerlo reduce en gran medida el número de parches que necesitarán los nuevos ordenadores
que añada a su entorno para lograr el estado más seguro posible. Para más información sobre
las ventajas de usar service packs, consulte Por Qué los Service Packs Son Mejores Que los
Parches:
http://www.microsoft.com/technet/columns/security/essays/srvpatch.asp.

Evaluación y Categorización de Activos


Para ayudarle a determinar qué actualizaciones son relevantes para su entorno, así como el
orden en que debe aplicarlas, puede crear categorías para los ordenadores de su entorno
basadas en su función y en su importancia para el funcionamiento adecuado del negocio.
Una vez creadas las categorías apropiadas, puede supervisar e inventariar su entorno más
eficazmente conforme se lanzan parches de seguridad. Es necesario evaluar cuidadosamente
todos los boletines de seguridad para determinar la gravedad que las vulnerabilidades suponen
para su entorno. Sin embargo, no hace falta implantar todas las actualizaciones de seguridad en
todos los ordenadores de su entorno. Cuando usted determine que hay que implantar en su
entorno una actualización, el tener adecuadamente categorizados sus activos le ayudará a
hacerlo rápida y fácilmente.

76
Guía Microsoft de Gestión de Parches de Seguridad 77

Categorías que Definen el Alcance de la Vulnerabilidad


La siguiente tabla enumera algunas categorías informáticas comunes basadas en los roles y
servicios que ofrecen los ordenadores presentes en su entorno.
Tabla A.2: Productos de Seguridad de Terceros

Categoría Rol

Servicios de directorio Controladores de dominio


Servidores de infraestructura Servidores DNS
Servidores WINS
Servidores DHCP
Servidores de archivos
Servidores de impresión
Servidores de mensajería Servidores Exchange
Servidores de bases de datos Servidores SQL
Servidores Web Servidores IIS Internet
Servidores IIS Intranet
Servidores de aplicaciones Servidores de aplicaciones Terminal Services
Servidores de Distribución de Software Servidores RIS
Servidores SMS
Ordenadores cliente de usuario final Ordenadores portátiles
Escritorios
Tablet PCs
Escritorios de áreas comunes

Independientemente del número de categorías existentes en su entorno, la categorización de


activos puede ser útil para desarrollar estrategias adecuadas de pruebas, así como para
establecer los límites temporales apropiados para la implantación. Los entornos con pocas
categorías pueden usar la categorización de activos para probar los parches antes de
implantarlos, detectando los ordenadores que se pueden parchear primero.
Por ejemplo, su entorno puede contener un grupo de ordenadores de escritorio de áreas
comunes que sólo se usan para acceder a su intranet. Usted puede decidir dirigirse a esta
categoría de ordenadores durante la implantación inicial de un parche de seguridad.
Por el contrario, los entornos con muchas categorías pueden utilizar la categorización de activos
para determinar el plazo límite adecuado para un parche de seguridad que se va a implantar en
su entorno. Por ejemplo, los ordenadores de escritorio pueden actualizarse cualquier día
después de la jornada laboral, mientras que los servidores de mensajería sólo pueden
actualizarse los sábados de 5 a 10 de la mañana.

La Evaluación de Activos Ayuda a Priorizar la Implantación


de Parches
También puede determinar qué ordenadores son más importantes para su entorno si están
categorizados adecuadamente. Use las categorías para determinar qué ordenadores se
actualizan primero cuando se lanza un boletín de seguridad que describe una vulnerabilidad
que podría tener un gran impacto sobre su entorno. Por ejemplo, puede que quiera tratar una
vulnerabilidad de IIS en sus servidores IIS de Internet antes de tratar la misma vulnerabilidad
sobre sus servidores IIS de intranet porque los servidores de Internet están más expuestos y
son más importantes para el correcto funcionamiento de su negocio.

77
78 Guía Microsoft de Gestión de Parches de Seguridad

Además, los requisitos de disponibilidad del servicio para los distintos tipos de ordenadores
pueden variar mucho dentro de su entorno y pueden indicar cuándo se puede implantar una
actualización en ciertos ordenadores. Por ejemplo, el reinicio de los servidores Microsoft
Exchange puede estar limitado a las ventanas de mantenimiento durante la semana, por lo que
todas las actualizaciones que necesiten reiniciar el ordenador sólo podrán implantarse durante
la ventana de mantenimiento especificado.
El escaneo que realiza Microsoft Baseline Security Analyzer (MBSA) hará un informe con los
nombres y las direcciones IP de los ordenadores que no puede escanear cuando la cuenta de
usuario que inicia el escaneo no tiene permisos administrativos sobre los ordenadores objetivo.
Usted puede usar esta información junto con una utilidad de escaneo de puertos para
determinar qué servicios ofrecen los ordenadores no administrados.
Por ejemplo, un ordenador que escucha en el puerto TCP 1433 está ejecutando probablemente
Microsoft SQL Server, lo cual es importante, porque un ordenador que ejecuta SQL Server será
seguramente sensible a las vulnerabilidades de dicho producto. Deberá tomar medidas para
resolver las posibles vulnerabilidades.

Nota: Para ver una lista de las utilidades de escaneo de puertos, consulte la Parte I, Apéndice
A, “Herramientas y Recursos de Terceros”.
Para información sobre las asignaciones comunes de puertos, consulte Asignaciones de
Puertos para los Servicios de Uso Común:
http://www.microsoft.com/windows2000/techinfo/reskit/samplechapters/cnfc/cnfc_por_simw.asp.
Recuerde que los ordenadores protegidos con filtros IPSec o con software cortafuegos pueden
provocar que las utilidades de escaneo de puertos devuelvan resultados incompletos. Para
información sobre cómo configurar los filtros IPSec para permitir el escaneo por parte de
fuentes de confianza, consulte la Guía de Seguridad de Windows Server 2003:
http://www.microsoft.com/spain/technet/seguridad/guias/guia_ws2003.asp

En muchos entornos puede ser necesario implementar directivas y procedimientos para


manejar los ordenadores no administrados. Estas directivas y procedimientos pueden requerir
que los administradores tomen medidas para asegurarse que los ordenadores se actualizan
correctamente y qué operaciones debe realizar el personal si determinan que la amenaza que
ataca a un ordenador no administrado pone en peligro el resto de la red. Una práctica común es
requerir que los administradores de los ordenadores no administrados programen escaneos
MBSA locales y periódicos cuyos resultados se publiquen en un sitio FTP interno o compartido.
El análisis de estos resultados ayudará a determinar qué ordenadores requieren parches de
seguridad. Además, se puede autorizar al personal de operaciones de la red a eliminar
ordenadores de la red si no se puede evaluar el estado de sus parches de seguridad.
Sin embargo, a menudo resulta difícil ejecutar estas directivas y procedimientos. Realizar
comprobaciones manuales en los ordenadores no administrados con la ayuda de sus
respectivos administradores es el único modo de asegurarse de que un ordenador no
administrado tiene instalados los parches de seguridad necesarios.

78
Guía Microsoft de Gestión de Parches de Seguridad 79

Suscripción
La suscripción es el proceso de identificación de los mecanismos de comunicación que
pertenecen a tecnologías de su entorno, de modo que todas las notificaciones de parches y
vulnerabilidades importantes se reciban tan pronto como están disponibles. Suscribirse a los
métodos adecuados de notificación es esencial para mantener y actualizar sus líneas operativas
de referencia establecidas y para implementar un proceso eficaz de gestión de parches.
El Centro de Respuesta de Seguridad de Microsoft (MSRC) investiga los problemas
comunicados directamente a Microsoft, así como los problemas tratados en ciertos grupos
conocidos de noticias sobre seguridad. Los boletines de seguridad que lanza Microsoft incluyen
información sobre las vulnerabilidades y los productos a los que afectan. Los boletines incluyen
también información técnica detallada sobre las vulnerabilidades, las actualizaciones y
soluciones, así como consideraciones sobre la implantación e instrucciones para descargar las
actualizaciones disponibles.
Los boletines de seguridad y los parches de seguridad relacionados se lanzan los miércoles,
entre las 10 y las 11, a menos que Microsoft determine que es mejor para los clientes emitir el
boletín de seguridad a una hora distinta. Esta política se estableció en respuesta al feedback
internacional de los clientes, con el objetivo de permitirles realizar mejor la planificación
proactiva de sus planes de gestión de parches.
Puede revisar todos los boletines de seguridad y otros datos sobre la seguridad de los
productos Microsoft en http://www.microsoft.com/spain/technet/seguridad. Todos los parches
incluidos en los dos últimos service packs para todos los productos soportados actualmente
están disponibles para su descarga en esta ubicación.
Alertas por Correo Electrónico para Usuarios Técnicos y Grandes o
Medianas Empresas
Para los clientes que tienen un conocimiento más extensivo o interés en la tecnología
subyacente tras las actualizaciones de seguridad, Microsoft TechNet ofrece el Servicio de
Notificaciones de Seguridad de Microsoft, un servicio gratuito de notificación por correo
electrónico. Estos mensajes de correo electrónico están orientados a los profesionales TI y
contienen información técnica en profundidad. Si quiere más información o registrarse en el
Servicio de Notificaciones de Seguridad de Microsoft, consulte:
http://www.microsoft.com/technet/security/bulletin/notify.asp.
Alertas por Correo Electrónico para Usuarios Domésticos y Pequeñas
Empresas
Microsoft ofrece Microsoft Security Update, un servicio gratuito de alertas por correo electrónico
que hace que sea más fácil para las pequeñas empresas mantenerse informadas de las últimas
actualizaciones de seguridad. Cada vez que Microsoft lanza una actualización, los suscriptores
reciben un mensaje de correo electrónico que explica en términos inteligibles por qué Microsoft
ha publicado la actualización, enumera a qué productos afecta y proporciona un enlace a la
notificación completa en el sitio Web de Seguridad y Privacidad. Puede registrarse para recibirlo
en:
http://register.microsoft.com/subscription/subscribeme.asp?id=166

Nota: Para registrarse para recibir el servicio de notificación por correo electrónico Microsoft
Security Update necesita Microsoft Passport.

79
80 Guía Microsoft de Gestión de Parches de Seguridad

Alertas de Virus
Microsoft se ha unido recientemente a Network Associates y Trend Micro en la Alianza para la
Información sobre Virus (Virus Information Alliance, VIA) en un esfuerzo por proporcionar
información fiable y puntual a los clientes sobre los nuevos virus descubiertos. Puede encontrar
información sobre esta alianza en:
http://www.microsoft.com/technet/security/virus/via.asp.
Los clientes pueden encontrar alertas de virus publicadas por el Equipo de Respuesta de
Seguridad PSS (Servicios de Soporte de Producto) en:
http://www.microsoft.com/technet/security/virus/alerts/default.asp.

Notificación de Terceros: CERT


El Centro de Coordinación CERT (CERT/CC) es una organización subvencionada por el
gobierno que ofrece información sobre cómo proteger sus sistemas contra ataques, cómo
reaccionar contra los ataques reales y cómo prepararse para situaciones venideras. El CERT
ofrece formación y publica alertas de seguridad. Para más información, vea el sitio Web del
CERT:
http://www.cert.org/.

80
Guía Microsoft de Gestión de Parches de Seguridad 81

Informes de Seguridad
Para implementar un proceso eficaz de gestión de parches es necesario que su entorno sea
escaneado coherentemente en busca de vulnerabilidades. Idealmente, usted debería
desarrollar e implementar mecanismos para recopilar y analizar automáticamente la información
generada por los escaneos de vulnerabilidades. Esto le ayudará a reaccionar adecuadamente
ante las reacciones de seguridad y a mantener protegidas eficazmente las líneas de referencia
operativas.
Este capítulo incluye técnicas que pueden usarse para ayudar en los informes de seguridad de
los entornos WU, SUS y SMS. Consulte la sección Técnicas, al final de este capítulo, para más
información.

Escaneo de Vulnerabilidades
Cuando se lanzan boletines de seguridad, escanear todo su entorno para determinar en qué
ordenadores faltan actualizaciones puede resultar un proceso largo, especialmente en grandes
entornos.
A menudo, la amenaza de una vulnerabilidad es mayor para algunos servidores concretos de su
entorno, o la vulnerabilidad se dirige a servidores concretos. Usar la información de
categorización de activos establecida durante la creación de la línea de referencia para
escanear sólo aquéllos ordenadores que ejecutan los servicios afectados puede ayudarle a
completar los escaneos mucho más rápido, facilitando por lo tanto una implantación más ágil de
los parches. Por ejemplo, si una vulnerabilidad pone en peligro los servidores de mensajería,
puede que usted quiera escanear los servidores de mensajería de su empresa antes para
asegurarse de que cumplen con sus líneas de referencia operativas, dada su importancia para
el entorno.

Detección de Virus e Intrusiones


Aunque este tema escapa al alcance de este documento, las actividades de detección de virus
e intrusiones son críticas para la seguridad global de su entorno.
Debe evaluar todos los ordenadores de su entorno para determinar la mejor forma de
protegerlos con una solución de protección contra virus de terceras partes. Idealmente,
cualquier software de protección antivirus que se ejecute en su entorno debería ser capaz de
actualizar sus archivos de firmas mediante un proceso automatizado. La práctica recomendada
es que compruebe periódicamente los archivos de firmas en ordenadores demuestra para
asegurarse de que responden a las alertas de virus de Microsoft descritas en la sección
Suscripción de este capítulo.
La mayoría de las herramientas y métodos de detección de intrusiones funcionan dando por
hecho que la actividad de un intruso es visiblemente distinta del comportamiento usual de un
usuario regular. Estas herramientas suelen analizar los archivos de registro en busca de
patrones sospechosos de actividad. Aunque estas herramientas suelen avisarle de un ataque
una vez que éste ha tenido lugar, pueden ayudarle a evitar ataques futuros identificando los
sistemas vulnerables y recogiendo las evidencias necesarias para determinar la fuente del
ataque.
Internet Security and Acceleration (ISA) Server contiene características que pueden ayudarle en
la detección de intrusiones. Puede encontrar información sobre cómo configurar ISA Server
para detectar intrusiones en:
http://www.microsoft.com/technet/prodtechnol/isa/proddocs/isadocs/CMT_IntrusionIntro.asp

Nota: Para más información sobre otras herramientas de detección de virus e instrucciones,
consulte la Parte I, Apéndice A, “Herramientas y Recursos de Terceros”.

81
82 Guía Microsoft de Gestión de Parches de Seguridad

Informar de una Vulnerabilidad


A menudo, Microsoft recibe información relacionada con vulnerabilidades de seguridad de
profesionales TI de todo el mundo. Microsoft agradece estas contribuciones en los boletines de
seguridad que lanza. Puede revisar la política de agradecimientos en:
https://www.microsoft.com/technet/security/bulletin/policy.asp
En caso de que usted descubra lo que parece ser una vulnerabilidad de seguridad, Microsoft le
proporciona un formulario Web donde puede introducir la información necesaria para comunicar
la aparente vulnerabilidad. Un responsable de soporte de Microsoft se pondrá en contacto con
usted para ayudar a investigar la posible vulnerabilidad. Puede acceder al formulario Web en:
https://www.microsoft.com/technet/security/bulletin/alertus.asp

82
Guía Microsoft de Gestión de Parches de Seguridad 83

Técnicas de Instalación
Resumen
Lista de Técnicas de Instalación WU SUS SMS

Técnicas de Configuración
Configurar Remotamente el Cliente AU Mediante REG.exe Sí Sí
Técnicas de Creación de una Línea de Referencia
Usar MBSA para Escanear Ordenadores y Vulnerabilidades Sí Sí
Inventario de Hardware y Software de SMS Sí
Encontrar Aplicaciones Mediante Consultas SMS Sí
Técnicas de Informes de Seguridad
Crear un Informe de Escaneo de Vulnerabilidades con MBSA Sí Sí
Crear un Informe de Escaneo de Vulnerabilidades con la Sí
Herramienta de Informes Web de SMS

Técnicas de Configuración
Configurar Remotamente el Cliente AU Mediante REG.exe
Entorno: WU 5 SUS 5 SMS …

Propósito: Configurar remotamente los clientes AU


Prerrequisitos: Acceso administrativo a los ordenadores cliente; herramientas del Kit
de Recursos
Escala: La escalabilidad de esta técnica está limitada a los entornos de
tamaño pequeño y medio.

Puede usar la herramienta REG.exe para modificar remotamente el registro de un ordenador. El


archivo AURegConfig.cmd.txt que acompaña a esta guía contiene comandos de muestra para
hacer los cambios de configuración necesarios para el cliente AU en un ordenador remoto.
Antes de usar este archivo, necesita renombrarlo como AURegConfig.cmd y usar un editor de
texto como Notepad para editar los comandos con los parámetros de configuración que desea.
Revise las breves instrucciones incluidas en el archivo antes de editar los parámetros de
configuración.
Para ejecutar el archivo, abra una ventana de línea de comandos, navegue hasta la carpeta que
contiene el archivo AURegConfig.cmd y ejecute el siguiente comando:
AURegConfig.cmd computer name

83
84 Guía Microsoft de Gestión de Parches de Seguridad

Los comandos para modificar los parámetros del registro del ordenador especificado se
ejecutarán y configurarán el cliente AU de acuerdo con esto.

Nota: Para una descripción detallada de todos los parámetros de registro del cliente AU,
consulte la sección “Configurar el Software del Cliente Automatic Updates” del white paper
Implantación de Software Update Services en:
http://www.microsoft.com/windows2000/windowsupdate/sus/susdeployment.asp

Técnicas de Creación de Líneas de Referencia


Usar MBSA para Escanear Ordenadores y Vulnerabilidades
Entorno: WU 5 SUS 5 SMS …

Propósito: Mostrar cómo MBSA puede ayudar a recopilar información para el


inventario informático
Prerrequisitos: Un ordenador con MBSA instalado en su ubicación predeterminada y
acceso administrativo a los ordenadores que se van a escanear.
Escala: La escalabilidad de esta técnica está limitada a los entornos de
tamaño pequeño y medio si se usa tal como está.

MBSA incluye una interfaz gráfica y otra de líneas de comando que pueden realizar escaneos
locales o remotos de los sistemas Windows.
MBSA se ejecuta en los sistemas Windows 2000 y Windows XP y puede usarse para escanear
su entorno y recoger información de los ordenadores que puede ayudarle a identificar qué
ordenadores hay en la red, los productos instalados en cada uno y todos los parches de
seguridad o service packs aplicables para cada producto identificado.
El archivo MBSAScan.wsf.txt que acompaña a esta guía usa MBSA para escanear su entorno y
generar un archivo delimitado por tabuladores que contiene información detallada sobre los
ordenadores que puede encontrar. El archivo de texto resultante puede examinarse para
determinar qué productos específicos están instalados en cada ordenador escaneado y ofrecer
detalles relacionados con las actualizaciones de seguridad y service packs que faltan por aplicar
en cada producto encontrado.
Para usar el archivo, cópielo en su ordenador y renómbrelo como MBSAScan.wsf. Para ejecutar
el archivo, abra una ventana de comandos y navegue hasta la carpeta que contiene el archivo
MBSAScan.wsf. Teclee uno de los siguientes comandos, dependiendo del tipo de escaneo que
quiere realizar:
Para ejecutar un escaneo en el equipo local:
Cscript.exe MBSAScan.wsf
Para escanear varios ordenadores:
Cscript.exe MBSAScan.wsf –hf servers.txt

Nota: Para escanear varios ordenadores, enumere los nombres de todos los que quiere
escanear en el archivo servers.tx. Después, coloque el archivo servers.txt en el mismo directorio
que el archivo MBSAScan.wsf.

84
Guía Microsoft de Gestión de Parches de Seguridad 85

Para escanear todos los ordenadores de un dominio Windows llamado CORPDOMAIN:


Cscript.exe MBSAScan.wsf –d corpdomain
Para más información sobre el uso del script MBSAScan.wsf:
Cscript.exe MBSAScan.wsf -?
MBSAScan.wsf genera un archivo de salida con un nombre que representa la hora a la que se
ha realizado el escaneo en el formato siguiente: YYYYMMDD_HHMMSS. Esta nomenclatura le
permitirá ejecutar el escaneo repetidamente sin perder los datos del anterior. El archivo de
salida se coloca en el mismo directorio que el script.
Importe el archivo de salida en la base de datos que usted quiera para análisis posteriores.
Después, puede consultar la base de datos para cualquier dato del ordenador. También puede
importar el archivo de salida a Excel y usar las capacidades de clasificación y filtro de Excel
para examinar los datos.
A la hora de crear la línea de referencia, puede analizar los datos para determinar información
básica del inventario, como qué versiones de los sistemas operativos y de Internet Explorer
están presentes en su entorno y cuántos ordenadores carecen del service pack actual para
cada versión.

Nota: Este script da por supuesto que MBSA está instalado en su ubicación predeterminada
(C:\Archivos de Programa\Microsoft Baseline Security Analyzer) en el ordenador que ejecuta el
archivo MBSAScan.wsf. El escaneo de su entorno puede durar desde unos pocos minutos
hasta varias horas, en función de varios factores como el número de ordenadores que se van a
escanear y el ancho de banda disponible.
Además, la información de inventario que puede recopilar este script está limitada a los
productos soportados por MBSA. Para ver la lista completa de los productos que soporta
MBSA, consulte la Tabla 4.2: Capacidades de Escaneo de MBSA en la Parte I, Capítulo 4,
“Herramientas y Tecnologías”.

Inventario de Hardware y Software de SMS


Entorno: WU … SUS … SMS 5

Propósito: Configurar y mantener los componentes del inventario de hardware y


software de SMS.
Prerrequisitos: Un sitio SMS con clientes SMS.
Escala: El inventario de hardware y software se escala a cualquier tamaño
del entorno.

Microsoft Systems Management Server proporciona un sólido proceso de escaneo de clientes


para hardware y software. Para inventariar los parches, primero debe habilitar el inventario de
hardware y de software para el sitio SMS.
Inventario de Hardware
El inventario de hardware de SMS usa el archivo Sms_def.mof para acceder y recuperar
información del Repositorio WMI y del registro del ordenador.

85
86 Guía Microsoft de Gestión de Parches de Seguridad

Inventario de Software
El inventario de software de SMS utiliza un motor de escaneo que lee los encabezados
encriptados de los archivos para recuperar información sobre la aplicación. La información que
devuelve el inventario de software de SMS es la misma que usted obtendría haciendo clic con el
botón derecho del ratón sobre el nombre de un archivo, haciendo clic en Propiedades y
revisando la información de la pestaña Resumen.
Escaneo del Inventario de Software y Hardware de SMS
SMS realiza un escaneo del inventario de software y hardware inmediatamente después de
instalar por primera vez el cliente SMS, por lo que es importante asegurarse de que el cliente
SMS se instala completa y correctamente. Los procesos de escaneo de hardware y software
son configurables, así que usted puede modificar la frecuencia de los escaneos del ordenador.
La mayoría de empresas realizan un escaneo de hardware una vez al mes y un escaneo de
software cada semana. El hardware de un ordenador no suele cambiar demasiado a menudo,
pero el software puede actualizarse regularmente si permite a los usuarios que instalen su
propio software.
SMS recopila la información del inventario de software y hardware y la almacena en una base
de datos central de SQL Server. Los usuarios que tienen acceso a la base de datos pueden
revisar los datos, realizar consultas, generar informes y crear colecciones de ordenadores
basándose en los criterios de búsqueda. Estas colecciones se usan para centrarse en
ordenadores concretos a la hora de distribuir el software y las actualizaciones.
Cuando instala SMS con el Feature Pack de SUS, se añade contenido adicional al archivo
Sms_def.mof que permite al proceso de inventario de hardware de SMS recuperar la
información del registro de los ordenadores. La información de parches y actualizaciones se
almacena en el registro cuando se instalan. Es la misma información que usted puede encontrar
en el elemento Agregar/Quitar Programas del Panel de Control. Los datos inventariados
desde Agregar/Quitar Programas se almacenan en la base de datos de SQL Server para que
usted pueda determinar qué ordenadores tienen una actualización y cuáles no.

Nota: Al implantar parches y actualizaciones, debe pensar si cambia la planificación de sus


procesos de inventario de hardware y software antes del lanzamiento. La distribución será más
eficaz si usted sabe que los datos del inventario están actualizados. Antes de una implantación
amplia de una actualización crítica, modifique la planificación del inventario para que todos los
ordenadores envíen su inventario actualizado antes del lanzamiento programado. La
Herramienta de Distribución de Actualizaciones de Software controlará los ordenadores para
asegurarse de que no se reaplica ningún parche una vez que los ordenadores se han reiniciado.

Para realizar el inventario según sus necesidades, el administrador de SMS debe crear un aviso
obligatorio que fuerza a ejecutar en un cliente el inventario de hardware y software. Es posible
que el aviso necesite ejecutar la Herramienta de Inventario de Actualizaciones de Seguridad o
la Herramienta de Inventario de Actualizaciones de Office, que se proporcionan con el Feature
Pack Software Update Services de SMS, para detectar qué ordenadores tienen que instalar
todavía ciertos parches.
Los clientes deben comenzar a ejecutar el aviso dentro de los 60 minutos siguientes (por
defecto) a la llegada del aviso a su punto de acceso cliente local. Después, deben devolver
rápidamente la información de inventario necesaria al servidor del sitio.

86
Guía Microsoft de Gestión de Parches de Seguridad 87

También puede forzar a los clientes a iniciar el inventario de hardware y software con el método
siguiente:
1. Cree un paquete que contenga sólo la utilidad Cliutils.exe del kit de recursos
2. Cree dos programas:
1. Ejecute el inventario de hardware. En la línea de comando, teclee:
<driveletter>\<path>\cliutils.exe /START “hardware inventory agent”
2. Ejecute el inventario de software. En la línea de comando, teclee:
<driveletter>\<path>\cliutils.exe /START “software inventory agent”
3. Cree dos avisos, usando cada línea de programa y, a continuación, avise a todos los
clientes tan pronto como sea posible, mediante los privilegios administrativos,
independientemente de si los usuarios están conectados o no.
4. Confirme que el aviso se ha ejecutado correctamente.
5. Compruebe la fecha y hora en que se realizó el último inventario de hardware y software en
los clientes de pruebas.

Nota: Si su sitio SMS actualmente tiene problemas al realizar el inventario de software y


hardware debido a problemas de capacidad, no se recomienda incrementar la frecuencia del
inventario.

Control de los Activos Básicos


Tener un conocimiento exacto y actual de los elementos presentes en el entorno es esencial
para mantener un proceso eficaz de gestión de parches. El inventario de hardware de SMS
devuelve la información específica del hardware de manera predeterminada, como datos sobre
la unidad, atributos de la tarjeta de vídeo, tamaño de la RAM y puede ampliarse para obtener
detalles de los parches de software instalados y otros datos necesarios para soportar el proceso
global de gestión de parches.
Debe configurarse el inventario de hardware para que se produzca diariamente en los
servidores de centro de datos. Un inventario semanal debe ser suficiente para todos los demás
ordenadores, a menos que esté implantando un parche crítico. En este caso, usted querrá
modificar la planificación del inventario de hardware para disponer de él tan pronto como sea
posible sin generar un atraso en el sitio SMS.
El archivo Sms_def.mof, que define qué atributos de hardware se recopilan de los ordenadores
cliente durante el inventario de hardware, se encuentra en la carpeta
SMS\inboxes\clifiles.src\hinv de cada servidor del sitio.
Una gestión de parches eficaz requiere un conocimiento exacto y actual del software que está
instalado en su entorno. El inventario de software de SMS devuelve información sobre todos los
archivos .exe instalados en los ordenadores cliente. Se necesitará más trabajo para analizar
este inventario y determinar qué productos se han instalado en realidad. En general, el
inventario de software se puede configurar para que se produzca semanalmente en todos los
ordenadores del entorno de producción, pero puede que usted tenga otras necesidades.

87
88 Guía Microsoft de Gestión de Parches de Seguridad

Encontrar Aplicaciones Mediante Consultas SMS


Entorno: WU … SUS … SMS 5

Propósito: Manipular los datos devueltos automáticamente por SMS usando el


Lenguaje de Consulta WMI (WQL) de SMS.
Prerrequisitos: Un sitio SMS, clientes SMS y que existan datos en la base de datos
de SMS para el inventario.
Escala: SMS se escala en entornos de cualquier tamaño.

Las consultas son la clave para extraer los datos recopilados por SMS. Utilizando consultas,
usted puede extrapolar información útil de entre una gran cantidad de datos y determinar qué
sistemas requieren actualizaciones concretas. Las consultas de esta sección proporcionan
ejemplos de cómo utilizar el lenguaje de consultas para crear colecciones para orientar la
implantación de parches. Estas consultas pueden usarse para dirigirse directamente a los
parches mediante colecciones y avisos.
Hay varios ejemplos de consultas SMS incluidos en las Herramientas y Plantillas que
acompañan a esta guía:
• All Systems Running a Prompted Service SMS Query.txt. Esta consulta SMS solicita el
nombre de un servicio que se ejecuta en los ordenadores inventariados y devuelve todos lor
ordenadores que cumplen el criterio. Cuando se le indique, introduzca el nombre del
servicio. Por ejemplo, para el servicio Web de IIS, teclearía W3SVC.
• All Systems with IIS Installed SMS Query.txt. Esta consulta SMS devuelve los ordenadores
que tienen instalado Internet Information Services (IIS).
• All Windows 2000 Professional Workstations SMS Query.txt. Use esta consulta SMS para
obtener la lista de todas las estaciones de trabajo Windows 2000 Professional de su
entorno.
• All Windows 2000 Servers SMS Query.txt. Esta consulta SMS muestra todos los Servidores
Windows 2000 inventariados por SMS.
• Last Inventory Scan SMS Query.txt. Esta consulta SMS solicita una fecha y después
devuelve la última vez que se realizó el inventario. Esta información es valiosa para
determinar en qué clientes SMS hay que forzar un inventario antes de implantar un parche.
El proceso requiere no sólo un inventario exacto de antemano, sino también que el
inventario se actualice después de la instalación del parche.
• Show All Known Software Products by Company SMS Query.txt. Use esta consulta para
obtener una lista de todos los productos de software instalados, ordenados por el nombre
de la empresa.
Obtener Resultados de Consultas Fuera de SMS
No hay una función o una utilidad de línea de comando para ver los datos de las consultas SMS
fuera de la Consola de Administración de SMS. Pero si necesita obtener información
rápidamente y no tiene acceso inmediato a la Consola de Administración de SMS, puede usar
Microsoft Visual Basic Scripting Edition (VBScript) para consultar la base de datos SMS y
mostrar la información.
SMS WMI.vbs (elimine .txt del final del nombre del archivo), que se incluye en el directorio SMS
dentro de las Herramientas y Plantillas que acompañan a esta guía, consulta la base de datos
de SMS y, a continuación, muestra la información dentro de una ventana de comandos. Usted
sólo necesita introducir el código de su sitio SMS e insertar la consulta SMS en lugar de la
consulta de ejemplo del código.

88
Guía Microsoft de Gestión de Parches de Seguridad 89

SMS Excel.vbs (elimine .txt del final del nombre del archivo), también incluido en el directorio
SMS, inserta los datos devueltos en una hoja de cálculo de Excel en la cual los datos pueden
verse, filtrarse y analizarse. Usted sólo necesita insertar su propia consulta SMS; reemplazar
SMSSERVER por el nombre NetBIOS de su servidor SMS e introducir el código de su sitio
SMS.
Identificar Tipos de Ordenador
Identificar tipos de ordenador es una parte importante del proceso de control de activos. Saber
si un ordenador es portátil o de escritorio puede ayudarle a aislar los tipos concretos de
ordenadores en los que hay que implantar los parches, así como a dictar los procedimientos a
seguir tras implantar el parche.
Identifying Computer Types MOF.txt, incluido también en el directorio Herramientas y Plantillas
de SMS, puede identificar los distintos tipos de ordenadores implantados en una empresa.
Añada el texto de este archivo al archivo Sms_def.mof en todos los servidores de sitios en los
cuales se haya habilitado el inventario de hardware. Para modificar el archivo Sms_def.mof,
diríjase a \SMS\Inboxes\Clifiles.src\Hinv en el servidor y edite el archivo en un editor de texto.
Después de probar el archivo, puede reemplazar el archivo Sms_def.mof predeterminado
reemplazándolo en el directorio \SMS\Inboxes\Clifiles.src\Hinv en el servidor del sitio. Desde
allí, el archivo se propaga a todos los clientes de su sitio.

Nota: No debe editar nunca directamente el archivo Sms_def.mof del servidor del sitio. En su
lugar, trabaje con una copia offline y haga siempre una copia de seguridad del archivo.

Una vez que los clientes SMS han procesado correctamente el archivo, se comunicará la clase
WMI Win32_SystemEnclosure al servidor del sitio SMS como parte del inventario de hardware.
Esta información aparecerá eventualmente en el Explorador de Recursos de SMS y los
administradores SMS podrán utilizarla para construir consultas e informes.

89
90 Guía Microsoft de Gestión de Parches de Seguridad

Este código devuelve el fabricante del ordenador, el número de serie y el Tipo de Chasis. El
Tipo de Chasis contiene la siguiente información sobre el tipo de ordenador. Los valores son:
1 = Otro
2 = Desconocido
3 = Escritorio
4 = Escritorio de Bajo Perfil
5 = Caja de Pizza
6 = Mini Torre
7 = Torre
8 = Portátil
9 = Portátil (laptop)
10 = Notebook
11 = Hand Held
12 = Estación de Acoplamiento
13 = Todo en Uno
14 = Sub Notebook
15 = Compacto
16 = Lunch Box
17 = Chasis del Sistema Principal
18 = Chasis de expansión
19 = Sub Chasis
20 = Chasis de Expansión del Bus
21 = Chasis Periférico
22 = Chasis de Almacenaje
23 = Chasis Rack
24 = PC Sellado
Inventariar Internet Explorer
Internet Explorer ha estado implicado en varias vulnerabilidades relacionadas con la seguridad
desde 2000. Debe prestar especial atención para asegurarse de que Internet Explorer está
adecuadamente parcheado. El inventario de Internet Explorer es necesario porque hay muchas
versiones diferentes en uso, cada una con sus propias vulnerabilidades. Inventariar Internet
Explorer es algo más complicado que simplemente revisar la información recopilada por SMS
para el archivo Iexplore.exe durante el proceso estándar de inventario. La única forma exacta
de devolver la información de la versión de Internet Explorer es hacer que SMS incluya en el
inventario la clave del registro del ordenador que contiene los datos de Internet Explorer. Las
claves de registro contienen información que SUS puede usar para inventariar la versión, el
nivel del service pack y las revisiones aplicadas. Para permitir a SMS inventariar la clave de
registro, debe modificar el archivo Sms_def.mof para incluir un Proveedor de Registro (una
porción de código que da a SMS acceso al registro) y nueva información para indicar a SMS
qué información del registro debe devolver. Este código de proveedor de registro está en
Registry Provider MOF.txt, incluido en el archivo SMS de Herramientas y Plantillas.
Para más información sobre la implementación de los Proveedores de Registro WMI, consulte
el white paper Ampliar Sms_def.mof Usando Proveedores de Registro WMI en:
http://www.microsoft.com/smserver/techinfo/administration/20/using/extenddefmof.asp.
Código de Internet Explorer
Es necesario copiar Internet Explorer Inventory MOF.txt, incluido también en el archivo SMS de
Herramientas y Plantillas, en su archivo Sms_def.mof. Asegúrese de que sigue al código de
Proveedor de Registro. Esta parte del código es responsable de inventariar la información real
de Internet Explorer.

90
Guía Microsoft de Gestión de Parches de Seguridad 91

Técnicas de Informes de Seguridad


Crear un Informe de Escaneo de Vulnerabilidades con MBSA
Entorno: WU 5 SUS 5 SMS …

Propósito: Determinar cuántos ordenadores son vulnerables a un ataque concreto.


Prerrequisitos: Un ordenador con MBSA instalado en su ubicación predeterminada y
acceso administrativo a los ordenadores que se van a escanear.
Escala: La escalabilidad de esta técnica está limitada a los entornos de tamaño
pequeño y mediano.

MBSA incluye una interfaz gráfica y otra de línea de comandos que pueden realizar escaneos
locales o remotos de los sistemas Windows.
MBSA se ejecuta en los sistemas Windows 2000 y Windows XP y puede usarse para escanear
su entorno y recoger información de los ordenadores que puede ayudarle a identificar qué
ordenadores hay en la red, los productos instalados en cada uno y todos los parches de
seguridad o service packs aplicables para cada producto identificado.
El archivo MBSAScan.wsf.txt que acompaña a esta guía usa MBSA para escanear su entorno y
generar un archivo delimitado por tabuladores que contiene información detallada sobre los
ordenadores que puede encontrar. El archivo de texto resultante puede examinarse para
determinar qué productos específicos están instalados en cada ordenador escaneado y ofrecer
detalles relacionados con las actualizaciones de seguridad y service packs que faltan por aplicar
en cada producto encontrado.
Para usar el archivo, cópielo en su ordenador y renómbrelo como MBSAScan.wsf. Para ejecutar
el archivo, abra una ventana de comandos y navegue hasta la carpeta que contiene el archivo
MBSAScan.wsf. Teclee uno de los siguientes comandos, dependiendo del tipo de escaneo que
quiere realizar:
Para ejecutar un escaneo en el equipo local:
Cscript.exe MBSAScan.wsf
Para escanear varios ordenadores:
Cscript.exe MBSAScan.wsf –hf servers.txt

Nota: Para escanear varios ordenadores, enumere los nombres de todos los que quiere
escanear en el archivo servers.tx. Después, coloque el archivo servers.txt en el mismo directorio
que el archivo MBSAScan.wsf.

Para escanear todos los ordenadores de un dominio Windows llamado CORPDOMAIN:


Cscript.exe MBSAScan.wsf –d corpdomain
Para más información sobre el uso del script MBSAScan.wsf:
Cscript.exe MBSAScan.wsf -?
MBSAScan.wsf genera un archivo de salida con un nombre que representa la hora a la que se
ha realizado el escaneo en el formato siguiente: YYYYMMDD_HHMMSS. Esta nomenclatura le
permitirá ejecutar el escaneo repetidamente sin perder los datos del anterior. El archivo de
salida se coloca en el mismo directorio que el script.
Importe el archivo de salida en la base de datos que usted quiera para análisis posteriores.
Después, puede consultar la base de datos para cualquier dato del ordenador. También puede
importar el archivo de salida a Excel y usar las capacidades de clasificación y filtro de Excel
para examinar los datos.

91
92 Guía Microsoft de Gestión de Parches de Seguridad

A la hora de crear la línea de referencia, puede analizar los datos para determinar información
básica del inventario, como qué versiones de los sistemas operativos y de Internet Explorer
están presentes en su entorno y cuántos ordenadores carecen del service pack actual para
cada versión.

Nota: Este script da por supuesto que MBSA está instalado en su ubicación predeterminada
(C:\Archivos de Programa\Microsoft Baseline Security Analyzer) en el ordenador que ejecuta el
archivo MBSAScan.wsf. El escaneo de su entorno puede durar desde unos pocos minutos
hasta varias horas, en función de varios factores como el número de ordenadores que se van a
escanear y el ancho de banda disponible.
Además, la información de inventario que puede recopilar este script está limitada a los
productos soportados por MBSA. Para ver la lista completa de los productos que soporta
MBSA, consulte la Tabla 4.2: Capacidades de Escaneo de MBSA en la Parte I, Capítulo 4,
“Herramientas y Tecnologías”.

Crear un Informe de Escaneo de Vulnerabilidades Usando la Herramienta


de Informes Web de SMS
Entorno: WU … SUS … SMS 5

Propósito: Determinar cuántos ordenadores son vulnerables a un ataque concreto.


Prerrequisitos: Un sitio SMS, procesos de inventario y estado del sistema sanos; tener
instalada la herramienta Informe Web en un servidor IIS.
Escala: Puede escalarse a cualquier tamaño de entorno.

Después de instalar el Feature Pack de SUS junto con la herramienta Informe Web, SMS
comunicará automáticamente el inventario de los parches instalados. La herramienta Informe
Web proporciona los informes que se muestran en la siguiente tabla para ayudarle a determinar
el alcance de una vulnerabilidad.

92
Guía Microsoft de Gestión de Parches de Seguridad 93

Tabla 1.2: Informes de Gestión de Parches de la Herramienta Informe Web

Informe Descripción

Actualizaciones de software instaladas en un Contiene una lista de las actualizaciones de software


ordenador concreto instaladas en un ordenador.
Total de actualizaciones de software instaladas por Contiene el total de las actualizaciones de software
tipo de la empresa ordenadas por tipo.
Tasa de instalación de una actualización de Contiene información sobre la tasa de instalación de
software concreta una actualización de software en toda la empresa.
Actualizaciones de software instaladas para un Contiene una lista de las actualizaciones de software
producto concreto de un producto concreto instaladas en toda la
empresa.
Ordenadores con una actualización de software Contiene una lista de los ordenadores de toda la
concreta instalada empresa que tienen instalada una determinada
actualización de software.
Ordenadores con cualquier actualización de Contiene una lista de los ordenadores de toda la
software instalada empresa con cualquier actualización de software
instalada.
Actualizaciones de software aplicables para un Contiene una lista de todas las actualizaciones de
ordenador concreto software aplicables en un determinado ordenador.
Recuento de actualizaciones de software Contiene una lista de las actualizaciones de software
aplicables ordenadas por tipo aplicables en toda la empresa ordenadas por tipo.
Tasa de detección de una actualización de Contiene una lista de todas las actualizaciones de
software concreta software aplicables para un producto concreto en
toda la empresa.
Actualizaciones de software aplicables para un Contiene una lista de todos los ordenadores de la
producto concreto empresa para los cuales es aplicable una
determinada actualización de software.
Total de actualizaciones de software aplicables Contiene una lista de todos los ordenadores de la
ordenadas por tipo empresa para los cuales es aplicable alguna
actualización de software.
Tasa de detección de una actualización de Muestra las cuentas de estado de toda la empresa
software concreta para todas las actualizaciones de software, tanto
autorizadas como no autorizadas.
Actualizaciones de software aplicables para un Contiene información de las cuentas de estado de
producto concreto toda la empresa para todas las actualizaciones de
software autorizadas.
Máquinas en las que es aplicable una actualización Contiene una lista de todas las actualizaciones de
de software concreta software autorizadas en la empresa e incluye el
estado del sitio, ordenador e instalación de cada
una.
Máquinas en las que es aplicable cualquier Informa sobre los ordenadores de su empresa que
actualización de software tiene un número de actualizaciones de software
aplicables igual o mayor que el valor seleccionado
por usted.

93
94 Guía Microsoft de Gestión de Parches de Seguridad

Uso del Asistente de Distribución de Actualizaciones de Software de SMS


para Rastrear Vulnerabilidades
Entorno: WU … SUS … SMS 5

Propósito: Usar el Asistente de Distribución de Actualizaciones de Software para


proporcionar información para determinar el estado de las
vulnerabilidades del entorno
Prerrequisitos: Un sitio SMS con el Feature Pack de SUS instalado; procesos sanos de
inventario de hardware y software.
Escala: SMS puede escalarse a cualquier tamaño de entorno.

Al usar el Asistente de Distribución de Actualizaciones de Software, los administradores pueden


especificar una colección que crea automáticamente un aviso recurrente que ejecuta el agente
de instalación del parche. El intervalo de repetición es, por defecto, de siete días, pero se
puede modificar para adecuarlo a la colección. Por ejemplo, la colección que incluye los
servidores puede ejecutar el agente una vez al día o incluso más a menudo.
Si se necesitan distintas planificaciones para distintos tipos de ordenador, se pueden crear
múltiples avisos para las diferentes colecciones usando el mismo paquete y el mismo programa.
Si el intervalo de repetición para la ejecución del agente de instalación del parche se configura
en “diario” y necesita ejecutarse antes para el lanzamiento de un parche crítico, debe crearse
una asignación obligatoria, nueva y ocasional para que el aviso se ejecute lo antes posible.
En cuanto los cambios en el aviso se hayan propagado a los puntos de acceso cliente, los
siguientes programas advertidos comprueban que el cliente ejecute el agente de instalación del
parche para que se realice la instalación.
Si no está usando el Asistente de Distribución de Actualizaciones de Software pero está
distribuyendo los parches mediante una colección y paquetes personalizados, debe crear un
único aviso para ejecutar la instalación de parches, usando las colecciones creadas en la
sección Seleccionar Grupo de Implantación.
Si quiere escalonar el lanzamiento y usar una sola consulta o colección, cuando esté completo
el lanzamiento de la primera fase debe modificar la consulta para que incluya los clientes de la
fase siguiente, por ejemplo, el siguiente sitio que va a implantar. La colección se actualiza
manualmente o sobre un calendario definido, después de lo cual el programa de instalación de
parches se notifica automáticamente al nuevo conjunto de clientes.
Para las revisiones, las consultas SMS usadas para las colecciones objetivo están basadas en
la información de inventario que indica qué ordenadores carecen del parche que se está
instalando. Esto significa que:
• Según los ordenadores instalan el parche y se vuelven a inventariar posteriormente, se
eliminarán de la colección cuando esta se actualice, porque ya no cumplen la definición de
la consulta.
• Cuando se añade un ordenador nuevo a la red y SMS lo incluye en el inventario, al
actualizarse la colección, si el parche no está presente en ese nuevo ordenador, el
programa de instalación del parche lo advertirá automáticamente.

94
Guía Microsoft de Gestión de Parches de Seguridad 95

El intervalo de repetición del aviso debe escogerse con cuidado, porque:


• Los clientes que han instalado correctamente el lanzamiento permanecerán en la colección
objetivo hasta que se realice un nuevo inventario (puede empezarlo el propio programa de
instalación) o hasta que el inventario se haya actualizado en la base de datos de SMS y se
vuelva a evaluar la colección. Por lo tanto, el programa puede volver a ejecutarse en un
cliente que ya lo ha ejecutado correctamente una vez. Por esta razón, es esencial que el
programa que se va a ejecutar compruebe primero si el parche o parches se han instalado
y termine sin tardanza si lo están.
• La ejecución repetida de un programa que siempre falla debido a algún error es molesta
para los usuarios.
• La ejecución repetida de un programa de instalación incrementa la carga del cliente y de la
red.
• Sin embargo, el intervalo no debe ser demasiado largo, sobre todo si debe aplicase un
parche con urgencia.
Hay situaciones en las que un parche es crítico y debe implantarse en un espacio de tiempo
muy breve. Dado que esto suele producirse bajo la necesidad de un cambio urgente, es
probable que la fase de pruebas haya sido muy corta. Dado el incremento del riesgo que
implica la situación, hay que mantener la colección y la consulta objetivo con el menor número
posible de clientes, y recordar el peligro de no implantar el parche.
La arquitectura SMS, en la cual todos los servidores de los centros de datos están en un solo
sitio SMS, permite que el parche crítico se implante en el menor tiempo posible. Una vez creado
el paquete en ese sitio, establecida la colección objetivo y lanzado un aviso del programa, esta
información debe llegar sin retrasos a los clientes del servidor SMS, debido a la arquitectura
SMS escogida. El aviso se ejecutará en cuanto los servidores busquen nuevos avisos, lo cual
significa que este intervalo debe ser breve.

95
96 Guía Microsoft de Gestión de Parches de Seguridad

96
Guía Microsoft de Gestión de Parches de Seguridad 97

3
Inicio de los Cambios
Resumen
El proceso de inicio del cambio en la gestión de parches tiene tres componentes principales:
• Identificación. Determinar si un parche es necesario en su entorno y si su fuente es válida.
• Relevancia. Determinar si un parche tiene sentido dentro del contexto de la infraestructura
TI de su empresa.
• Cuarentena. Aislar los archivos relacionados con un parche o parches mientras se
examinan en busca de virus o código malicioso que pueda afectar a la infraestructura TI de
su empresa.

97
98 Guía Microsoft de Gestión de Parches de Seguridad

El diagrama siguiente muestra el proceso de inicio del cambio:

Figura 2.1.
Inicio de los Cambios para la Gestión de Parches de Seguridad

98
Guía Microsoft de Gestión de Parches de Seguridad 99

Identificación
La supervisión y el análisis adecuados de los informes de rastreo de vulnerabilidades de su
entorno, así como validar la fuente y el contenido de los boletines de seguridad que recibe son
actividades esenciales para iniciar su proceso de gestión de parches.

Informes de Rastreo de Vulnerabilidades


Analice proactivamente los resultados de los rastreos de vulnerabilidades realizados en su
entorno para identificar posibles vulnerabilidades. Los informes basados en las distintas
categorías de ordenadores o en las tecnologías concretas que se ejecutan en su entorno
pueden ayudarle a reaccionar rápidamente ante las vulnerabilidades.
Microsoft Baseline Security Analyzer (MBSA) es una herramienta útil para escanear
vulnerabilidades en los entornos Windows Update (WU) y Software Update Services (SUS).
Systems Management Server (SMS) incluye MBSA con el Feature Pack de SUS.

Boletines de Seguridad de Microsoft


Las notificaciones por correo electrónico incluyen detalles sobre las vulnerabilidades de las que
hablan. Revise atentamente la información de las notificaciones. Sin embargo, debe consultar
siempre el sitio Web de Seguridad en Microsoft, la fuente más exhaustiva y actualizada de
información sobre los boletines de seguridad, en:
http://www.microsoft.com/spain/technet/seguridad.
Siga estas directrices cuando revise el contenido de todas las notificaciones por correo
electrónico para validarlas y para asegurarse de obtener la información más reciente sobre los
boletines de seguridad:
• Borre inmediatamente cualquier mensaje de correo electrónico que afirme provenir de
Microsoft y contenta algún archivo de software adjunto. Nunca ejecute ni instale ningún
archivo ejecutable adjunto a una notificación por correo electrónico.
• No haga clic en ningún enlace directamente desde el mensaje de correo electrónico. En su
lugar, pegue la dirección URL en una ventana del explorador para confirmar que enlaza con
un sitio Web de Microsoft.
• Visite siempre el sitio Web de Seguridad en Microsoft para leer los detalles fiables de un
boletín de seguridad. Si cree que no tendrá acceso a Internet a la hora de recibir los
boletines, familiarícese con las herramientas PGP y seleccione una que pueda usar para
comprobar la firma PGP de cada boletín de seguridad para confirmar su autenticidad.
Puede descargar la clave del Boletín de Seguridad del Centro de Respuesta de Seguridad
de Microsoft (MSRC) desde: http://www.microsoft.com/technet/security/MSRC.asc.
Para más información sobre cómo verificar la firma digital, consulte:
http://www.microsoft.com/spain/technet/seguridad/boletines/notificacion.asp.
Hay varios mensajes de correo electrónico falsos que fingen provenir de Microsoft. Cuando
reciba un Boletín de Seguridad de Microsoft, confirme su autenticidad y la de todos los
hipervínculos a actualizaciones de software visitando el sitio Web Herramienta de Búsqueda de
Actualizaciones de Seguridad en:
http://www.microsoft.com/technet/security/current.asp.

99
100 Guía Microsoft de Gestión de Parches de Seguridad

Para más información sobre este tipo de mensajes falsos, consulte la Información sobre
Mensajes de Correo de Boletines de Seguridad de Microsoft Falsos:
http://www.microsoft.com/technet/security/news/patch_hoax.asp.

Nota: Microsoft tiene como política no distribuir nunca software a través de archivos adjuntos a
un mensaje de correo electrónico. Por favor, revise la Política de Microsoft para la Distribución
de Software en: http://www.microsoft.com/spain/technet/seguridad/politica/sfdist.asp

Leer un Boletín de Seguridad de Microsoft


La información de los boletines de seguridad del sitio Web de Microsoft está organizada en
secciones que le ayudan a determinar la criticidad de las vulnerabilidades descritas respecto a
su entorno. Aunque debe revisar toda la información de un boletín de seguridad, preste especial
atención a los siguientes elementos cuando examine un boletín por primera vez:
• Resumen. Lea inmediatamente la sección Resumen del boletín de seguridad. Los
elementos Gravedad Máxima, Impacto de la Vulnerabilidad, Software Afectado y
Recomendación contienen información que le ayudará a determinar la susceptibilidad de su
entorno respecto a la vulnerabilidad.
• Detalles Técnicos. La sección Detalles Técnicos proporciona una descripción técnica en
profundidad de las vulnerabilidades que trata un boletín de seguridad. También explica los
factores de mitigación y la severidad de las vulnerabilidades para todos los productos
afectados.
• Artículo de la Knowledge Base. Remite al artículo de la Knowledge Base identificado en
el título del boletín de seguridad. Ofrece información adicional sobre las vulnerabilidades y
las actualizaciones prescritas en el boletín de seguridad. El número que va entre paréntesis
a la derecha del título de un boletín de seguridad indica el artículo de la Knowledge Base
correspondiente al boletín de seguridad. Use este número para buscar el artículo en el sitio
Web de Soporte de Microsoft en: http://www.support.microsoft.com.
Por ejemplo, un boletín de seguridad puede incluir en la sección Resumen los siguientes datos:
• Impacto de la Vulnerabilidad: permite a un atacante ejecutar código en el sistema de un
usuario.
• Gravedad Máxima: crítica.
• Recomendación: los clientes deben instalar este parche tan pronto como sea posible.
• Software Afectado:
• Microsoft Internet Explorer 5.01
• Microsoft Internet Explorer 5.5
• Microsoft Internet Explorer 6.0
• Microsoft Internet Explorer 6.0 para Windows Server 2003.
Las breves descripciones de la sección Resumen le permiten efectuar una evaluación rápida del
impacto potencial que una vulnerabilidad puede tener sobre su entorno sin tener que revisar
atentamente todo el contenido del boletín. El Resumen destaca el tipo de explotación,
proporciona una lista del software afectado y recomienda la acción oportuna. Después de
revisar la sección Resumen, usted puede determinar si necesita realizar inmediatamente una
revisión en profundidad del contenido restante de los boletines de seguridad.

100
Guía Microsoft de Gestión de Parches de Seguridad 101

Sistema de Medición de la Gravedad Máxima


El Centro de Respuesta de Seguridad de Microsoft (MSRC) ha implementado el Sistema de
Medición de la Gravedad Máxima para ayudarle a determinar con rapidez la importancia de una
actualización para su empresa. Esta clasificación se basa en el impacto potencial de una
vulnerabilidad y su objetivo es informarle de la urgencia de las acciones requeridas. Las
actualizaciones pueden clasificarse en una de las siguientes tasas de gravedad:
• Crítica. Una vulnerabilidad cuya explotación podría permitir la propagación de un gusano
de Internet sin intervención del usuario.
• Importante. Una vulnerabilidad cuya explotación podría poner en peligro la
confidencialidad, integridad o disponibilidad de los datos de los usuarios, o la integridad o
disponibilidad de los recursos de proceso.
• Moderada. Su explotación está mitigada en un alto grado por factores como la
configuración predeterminada, la auditoría o la dificultad de la explotación.
• Baja. Una vulnerabilidad cuya explotación es extremadamente difícil o cuyo impacto es
mínimo.

Nota: Para más información sobre el Sistema de Medición de la Gravedad Máxima, consulte:
http://www.microsoft.com/technet/security/policy/rating.asp.

101
102 Guía Microsoft de Gestión de Parches de Seguridad

Relevancia
Periódicamente se lanza un gran número de actualizaciones de software para la comunidad TI.
Estas actualizaciones de software pueden provenir de muchas fuentes y se crean por diversas
razones, entre ellas para tratar los problemas que podrían provocar brechas de seguridad.
Revise los parches cuidadosamente, pero no dé por hecho inmediatamente que debe
implantarlos en su entorno. Habiendo tantos parches disponibles para tantos tipos distintos de
software, es crucial asegurarse de que todos los parches se evalúan exhaustivamente para
comprobar su relevancia en el entorno y mantener así un proceso de gestión de parches lo más
eficaz posible.
No todos los parches de seguridad que lanza Microsoft serán relevantes para su entorno.
Aunque es importante conocer y comprender bien los parches de seguridad existentes,
implantar sólo aquellos parches que sean relevantes para su entorno minimizará el esfuerzo
necesario para mantener su entorno actualizado y seguro.
A partir de la información reunida en la notificación inicial y el resto de la información
descubierta al comprobar la relevancia del parche, usted debe poder averiguar si la
actualización de software es aplicable a su empresa.

Nota: Determinar la relevancia de parches relativos a una tecnología concreta puede suponer
un reto significativo para cualquier entorno. Las tecnologías, como Microsoft Date Engine
(MSDE) o Microsoft Internet Information Services (IIS), que se pueden instalar en los clientes o
en los servidores pueden dificultar la tarea de averiguar si una actualización de software es
relevante para un subconjunto concreto de ordenadores de su entorno. Esto pone de manifiesto
la importancia de mantener un inventario de su entorno tan exacto como sea posible.

102
Guía Microsoft de Gestión de Parches de Seguridad 103

Cuarentena
Después de determinar que un parche es relevante para su entorno, el paso siguiente es
descargar los archivos relacionados. En raras ocasiones, los parches de seguridad sólo le
pedirán cambios en el registro, en el archivo de configuración o en los parámetros de una
aplicación, pero la mayoría implica la descarga de archivos. Ponga siempre en cuarentena los
archivos que descarga, aislándolos de su red de producción mientras los examina en busca de
virus y confirma su autenticidad digital para asegurarse de que no afectarán negativamente la
infraestructura TI de su empresa.

Nota: El Centro de Descargas de Microsoft, Windows Update (y el Catálogo de Windows


Update), SUS y SMS con el Feature pack de SUS sólo proporcionan actualizaciones de
auténticas software de Microsoft. Si recibe una actualización de software de Microsoft a través
de otros medios, tome medidas para confirmar su validez y su firma digital.

La instalación y pruebas iniciales de un parche de seguridad deben realizarse sobre


ordenadores aislados de su red de producción. Idealmente, para garantizar que se establecen
controles estrictos en el entorno aislado, el proceso de cuarentena debe ser llevado a cabo por
un grupo dedicado dentro de la empresa.
Las siguientes secciones describen algunos métodos de descarga de actualizaciones de
software para mecanismos de distribución y objetivos de instalación alternativos, fuera del uso
de las capacidades integradas del cliente Automatic Updates (para WU y SUS) y SMS con el
Feature Pack de SUS.

Descargar Actualizaciones del Centro de Descarga Microsoft


Para descargar una actualización publicada por Microsoft en el Centro de Descarga:
1. Visite el Centro de Descarga de Microsoft: http://www.microsoft.com/downloads.
2. En el cuadro Palabras Clave, teclee el artículo de la Knowledge Base para la actualización
de software. Puede que tenga que escribir KB o Q delante del número e intentar la
búsqueda un par de veces. El número del boletín de seguridad de Microsoft no se usa
como una palabra clave para la actualización de software. Como alternativa, seleccione un
producto específico de la lista desplegable Producto/Tecnología y haga clic en Ir.
3. Haga clic en la actualización de software adecuada para su sistema operativo o aplicación.
4. Revise la información ofrecida en la página de descarga de la actualización de software
para asegurarse de que descarga la actualización correcta.
5. Si es necesario, seleccione un idioma de la lista desplegable en la zona derecha de la
página y haga clic en Ir.
6. Haga clic en el enlace Descargar o siga las instrucciones de la página de descarga.

Nota: Al descargar una actualización de software desde www.microsoft.com, siempre es mejor


teclear directamente la URL del Centro de Descarga y, a continuación, buscar la descarga
manualmente. Esto le impide seguir la URL de un mensaje ficticio que podría llevarle a un sitio
que no es auténtico.

103
104 Guía Microsoft de Gestión de Parches de Seguridad

Descargar Actualizaciones del Catálogo de Windows Update


Puede acceder al sitio Web de Windows Update de los siguientes modos:
• En la barra de herramientas de Internet Explorer, haga clic en Herramientas y, a
continuación, en Windows Update.
• En Windows, haga clic en el botón Inicio y, a continuación, haga clic en el icono Windows
Update.
• Visite el sitio Web de Windows Update:
http://v4.windowsupdate.microsoft.com/es/.

Nota: Para que Windows Update funcione adecuadamente, debe cambiar la configuración de
seguridad de la zona de Internet a Media o inferior. Para hacerlo, abra Internet Explorer, haga
clic en el menú Herramientas y, a continuación, en Opciones de Internet. Haga clic en la
pestaña Seguridad y, a continuación, en el icono Internet. Para ajustar su nivel de seguridad,
haga clic en Nivel Predeterminado o Personalizar Nivel.

Para ver el Catálogo de Windows Update, tiene que añadirlo a su lista de opciones en la página
predeterminada de Windows Update. Para acceder a este catálogo, siga los siguientes pasos:
1. Debajo de Otras Opciones, haga clic en Personalizar Windows Update.
2. Seleccione la casilla Mostrar el enlace al Catálogo de Windows Update debajo de la
opción Ver También.
3. Haga clic en Guardar Configuración.
4. Debajo de Ver También, seleccione el enlace del Catálogo de Windows Update.
5. Realice una búsqueda por sistema operativo e idioma; también puede escoger uno o más
tipos de actualizaciones de las opciones de Búsqueda Avanzada.

Nota: El Catálogo de Windows Update actualmente clasifica los parches de seguridad en la


categoría Actualizaciones Críticas y Service Packs.

Descargar Actualizaciones del Centro de Descarga de Office


Para descargar una actualización de software encontrada mediante el Centro de Descarga de
Office:
1. Visite el Centro Microsoft de Descarga de Office:
http://office.microsoft.com/Downloads.
2. Use las cajas de Producto y Versión para elegir un producto y, a continuación, seleccione
sólo la casilla Actualizaciones.
3. Haga clic en Actualizar la Lista.
4. Haga clic en el enlace Descargar Ahora de la actualización de software que busca.

104
Guía Microsoft de Gestión de Parches de Seguridad 105

4
Lanzamiento de Seguridad

Resumen
El proceso de lanzamiento de seguridad para la gestión de parches tiene tres componentes
principales:
• Gestión de cambios. Describe un conjunto de procedimientos y disciplinas diseñados para
reducir el número de cambios innecesarios en su entorno y para garantizar que los cambios
no provocan ningún problema o interrupción en el servicio.
• Gestión del lanzamiento. Proporciona los pasos para planificar, probar y producir cambios
en su entorno de producción, manteniendo al mismo tiempo la integridad y la disponibilidad
de los servicios existentes.
• Revisión de cambios. Consta de los pasos necesarios para determinar el éxito de la
implantación de un parche y ofrece consideraciones para detener y deshacer la
implantación en caso de que no tenga éxito.

105
106 Guía Microsoft de Gestión de Parches de Seguridad

El siguiente diagrama de flujo muestra el proceso completo de un lanzamiento de seguridad.

Figura 4.1.
Lanzamiento de Seguridad para la Gestión de Parches de Seguridad

106
Guía Microsoft de Gestión de Parches de Seguridad 107

Gestión de Cambios
El cambio, en el contexto de la gestión de parches, se define como cualquier adición al
software, como actualizaciones de software, introducida deliberadamente en un entorno TI y
que puede tener un impacto sobre el funcionamiento adecuado del entorno o de uno de sus
componentes.
Los cambios pueden ser temporales o permanentes. Los cambios temporales, como las
contramedidas, pueden activarse hasta que sea posible implementar un cambio permanente,
generalmente una actualización de software. Ya sean temporales o permanentes, es necesario
que el proceso de gestión del cambio controle todos los cambios.
Según se lanzan boletines de seguridad y se validan los parches relevantes para su
implantación, es importante identificar los recursos de su entorno más afectados por la
vulnerabilidad, así como detectar cuáles de esos recursos son más críticos para el
funcionamiento adecuado de su entorno. La información de categorización de activos
establecida anteriormente le ayudará a encontrar los recursos más críticos para su entorno, de
modo que usted pueda implantar las actualizaciones de software en esos ordenadores tan
pronto como sea posible. Un proceso de gestión de cambios bien definido le permitirá agilizar
la aprobación de los parches necesarios para esos ordenadores.
Las Herramientas y Plantillas que acompañan a esta guía incluyen Request for Change
Form.doc, un formulario de muestra que puede ayudarle en el proceso de gestión del cambio. El
formulario le ayuda a identificar y organizar los datos más importantes relacionados con el
parche de seguridad.

Nota: El proceso de gestión de cambios de parches es sólo una parte de un proceso completo
de gestión de cambios. La introducción de cambios en cualquier área de su entorno TI debe
adherirse al mismo proceso de gestión de cambios. Para información sobre las prácticas
recomendadas relacionadas con la gestión de cambios, vea:
http://www.microsoft.com/technet/ittasks/maintain/pracserv.asp.

Evaluación del Riesgo


Antes de implantar un parche de seguridad, debe evaluar el riesgo de la vulnerabilidad en
relación con los riesgos que implica afrontarla. Por ejemplo, si el parche de seguridad requiere
que reinicie sus ordenadores, puede que necesite planificar la implantación durante las horas de
descanso o, como mínimo, que deba dividir en etapas la implantación para reducir el impacto
del reinicio.

107
108 Guía Microsoft de Gestión de Parches de Seguridad

La lista siguiente incluye algunas consideraciones que le ayudarán a evaluar adecuadamente


los riesgos de la implantación de un parche de seguridad.
• Determinar la exposición que una vulnerabilidad en concreto supone para su
entorno. Muchos boletines de seguridad y los parches relacionados pueden aplicarse sólo
a algunos ordenadores de su entorno. Si la amenaza de la vulnerabilidad es baja, la
implantación de los parches relacionados puede programarse para que se produzca
durante la próxima sesión de mantenimiento.
• Priorizar los lanzamientos según la evaluación de activos. Dé una consideración
especial a los ordenadores que ejecutan servicios cruciales para el adecuado
funcionamiento de su entorno. Debe ser consciente de cómo afectará a su entorno
cualquier tiempo de inactividad derivado del lanzamiento.
• Impacto sobre la infraestructura de red. Implantar un parche grande en muchos
ordenadores simultáneamente puede degradar el rendimiento de la red y afectar
negativamente al buen funcionamiento de su entorno entero. Revise atentamente la
documentación de todas las actualizaciones de software y conozca siempre el tamaño del
parche y el número de ordenadores que lo recibirán. Esta información puede ayudarle a
planificar correctamente el lanzamiento.
• Determinar el impacto del tiempo de inactividad. Asegúrese de conocer las
repercusiones del tiempo de inactividad para el improbable caso de que un parche haga
que un ordenador funcione mal. Necesitará comparar y considerar los riesgos de posponer
un parche y los riesgos en que incurre provocando un tiempo de inactividad en el ordenador
al implantar un parche en su entorno.

Nota: Incluso el menor de los fallos TI tiene la capacidad de inhabilitar gravemente su entorno.
Entender los riesgos que suponen los cambios que planea hacer en su entorno es una parte
esencial de un proceso eficaz de gestión de cambios. Para leer una descripción general
detallada de las prácticas de evaluación del riesgo recomendadas, vea:
http://www.microsoft.com/technet/itsolutions/tandp/opex/mofrl/mofrisk.asp.

Clasificación
La clasificación es el paso de la gestión de cambios en el cual usted determina la prioridad de
un lanzamiento y su planificación resultante.
La tabla siguiente ofrece algunas directrices para priorizar varios lanzamientos de seguridad.
Tabla 4.1: Directrices Temporales para la Implantación de un Lanzamiento de Seguridad

Prioridad Plazo Recomendado Plazo Mínimo


Recomendado
1 Dentro de 24 horas Dentro de 2 semanas
2 Dentro de 1 mes Dentro de 2 meses
3 Dependiendo de la disponibilidad, implante un nuevo Implante la actualización de
service pack o rollup de actualizaciones que incluye la software dentro de 6 meses
reparación para esta vulnerabilidad dentro de 4 meses.
4 Dependiendo de la disponibilidad, implante un nuevo Implante la actualización dentro
service pack o rollup de actualizaciones que incluye la de un año; también puede decidir
reparación para esta vulnerabilidad dentro de 1 año. no implantarla.

108
Guía Microsoft de Gestión de Parches de Seguridad 109

El Centro de Respuesta de Seguridad de Microsoft (MSRC) evalúa la gravedad de las


vulnerabilidades descritas en los boletines de seguridad que lanza en un esfuerzo por ayudar a
los clientes a decidir qué parches aplicar para evitar el impacto en sus circunstancias
particulares y con qué rapidez deben actuar.
La priorización y la planificación resultantes del lanzamiento de seguridad deben determinarse
teniendo en cuenta el nivel definido de gravedad MSRC de la vulnerabilidad junto con aspectos
únicos de su entorno.
Un mecanismo simple para determinar la propiedad implica traducir el nivel de gravedad MSRC
de la vulnerabilidad a un nivel de prioridad inicial para el lanzamiento (Tabla 4.2) y, a
continuación, incrementar o disminuir el nivel de prioridad en función de las necesidades de su
empresa y los aspectos únicos de su entorno (Tabla 4.3).
Tabla 4.2: Determinación de la Prioridad Inicial

Nivel MSRC de Gravedad Prioridad


de la Vulnerabilidad Inicial
Crítica 1
Importante 2
Moderada 3
Baja 4

Tabla 4.3: Factores que Pueden Influir en la Prioridad del Lanzamiento

Factor del Entorno o de la Empresa Posible Ajuste de la


Prioridad
Activos en peligro de alto valor o muy expuestos Elevar
Activos que son un objetivo histórico de los atacantes Elevar
Existencia de factores mitigantes, como contramedidas para minimizar la Disminuir
amenaza
Activos en peligro de escaso valor o poco expuestos Disminuir

Para facilitar el impacto sobre los recursos que realizan la gestión del lanzamiento se pueden
combinar múltiples cambios de seguridad para la misma categoría de activo en un solo
lanzamiento. Esto es lo más apropiado para las prioridades 2, 3 y 4, como se muestra en la
Tabla 4.1.

Contramedidas Típicas
La mayoría de parches requiere que los ordenadores objetivo se reinicien antes de que la
instalación esté completa y el ordenador protegido. Si usted impide la implantación inmediata de
un parche en su entorno porque los reinicios están limitados a las sesiones de mantenimiento,
la implementación de las contramedidas recomendadas puede proteger eficazmente sus
ordenadores hasta que pueda implantarse el parche.
Según se identifican y aplican en la empresa las actualizaciones de software, hay varios
elementos que debe tener presentes para tratar de contrarrestar las vulnerabilidades al distribuir
el lanzamiento.

109
110 Guía Microsoft de Gestión de Parches de Seguridad

El boletín de seguridad debe proporcionar contramedidas adicionales para impedir otros


ataques antes de que se aplique la actualización de software. Los boletines de seguridad del
sitio Web de Microsoft ofrecen más información sobre la vulnerabilidad en las secciones
Detalles Técnicos y Preguntas Frecuentes. Puede usar esta información para desarrollar un
plan de contramedidas hasta que la actualización de software esté completamente implantada.

Nota: Por ejemplo revise el Boletín de Seguridad MS03-010:


http://www.microsoft.com/spain/technet/seguridad/boletines/MS03-010-IT.asp.
En la sección Detalles Técnicos, revise la información adicional sobre cómo se puede
aprovechar esta vulnerabilidad a través de la Llamada a Procedimiento Remoto (RPC) del
puerto 135. Cuando expande la sección Preguntas Frecuentes, se ofrece información sobre el
bloqueo del puerto 135 como contramedida recomendada en la sección Solución.

Además, la implementación de contramedidas a menudo protege a los ordenadores contra


muchas vulnerabilidades comunes. Bloquear ciertos puertos de red y desactivar los servicios
que no se usan son algunas de las contramedidas que, al ser implementadas, pueden proteger
eficazmente sus ordenadores. Para más información sobre las contramedidas de protección del
ordenador, consulte: Amenazas y Contramedidas: Parámetros de Seguridad en Windows
Server 2003 y Windows XP en:
http://go.microsoft.com/fwlink/?LinkId=15159.

Nota: Las contramedidas no reemplazan la implantación de las actualizaciones de seguridad.


En su lugar, las contramedidas pretenden ayudarle a proteger su entorno mientras se está
implantando una actualización de software. Su objetivo debe ser siempre proteger su entorno
implantando las actualizaciones de software en consecuencia.

110
Guía Microsoft de Gestión de Parches de Seguridad 111

Gestión del Lanzamiento


La gestión del lanzamiento es el proceso de planificación, prueba y ejecución de los cambios en
su entorno. Su objetivo es asegurar que todos los cambios se implantan correctamente en la
producción del modo menos molesto posible. Las siguientes secciones describen elementos a
tener en cuenta durante las distintas fases de la gestión del lanzamiento que le ayudarán a
definir el proceso adecuado para implantar parches con eficacia.

Planificar el Lanzamiento
Durante la fase de planificación del lanzamiento, necesita definir los detalles de la implantación
basándose en la criticidad del lanzamiento respecto a su entorno. La planificación eficaz del
lanzamiento requiere que usted determine los siguientes aspectos:
• Alcance del lanzamiento. ¿Qué ordenadores de su entorno necesitan la actualización de
software? ¿Está actualizada la información del inventario de su entorno? Determinar con
exactitud qué ordenadores necesitan un lanzamiento concreto contribuye a una
implantación lo más eficaz posible.
• Orden de lanzamiento para múltiples actualizaciones de software. ¿Qué dependencias
tienen las actualizaciones aprobadas? ¿Cuáles requieren el reinicio del sistema? ¿Pueden
combinarse varias actualizaciones? Responder a estas preguntas puede ayudarle a
minimizar el impacto de un lanzamiento sobre su entorno, garantizando que las
actualizaciones de software se instalan correctamente y limitando el tiempo de inactividad
del sistema provocado por reinicios innecesarios.
• Restauración. ¿Puede desinstalarse el lanzamiento? ¿Es necesario disponer de algún
mecanismo en caso de que un ordenador deje de responder tras la implantación de un
parche? ¿Se han establecido los mecanismos de copia de seguridad y restauración
adecuados? Entender los requisitos para devolver los ordenadores a su estado original en
el improbable caso de que una implantación afecte negativamente a su entorno es un
aspecto importante de la gestión del lanzamiento.
• Planificar la implantación del lanzamiento. ¿El lanzamiento requiere ser desplegado
inmediatamente? ¿Puede llevarse a la producción por fases? Es más que probable que no
todos los ordenadores de su entorno necesiten una actualización inmediatamente. Una vez
más, responder a estas preguntas le ayudará a minimizar el tiempo de inactividad
innecesario que podría afectar negativamente a su entorno.
• Definir los requisitos de formación y de comunicación del usuario final. ¿Qué debe
comunicarse a los usuarios finales y cuándo? Comunicar a los usuarios finales la gravedad,
urgencia y posibles efectos negativos de la implantación le ayudará a limitar los efectos
adversos de la implantación sobre su entorno. Para asegurarse de que los usuarios finales
entienden la importancia de un lanzamiento, debe usar múltiples mecanismos de
comunicación para informarles de las actualizaciones de software que hay que implantar
inmediatamente. Los mecanismos de comunicación sugeridos incluyen la difusión por
mensajes de voz o correos electrónicos de alta prioridad enviados por una fuente interna
fiable.

Desarrollo del Lanzamiento


Con un plan de lanzamiento en marcha, oriente sus esfuerzos a identificar y desarrollar el
mecanismo de lanzamiento que se usa para implantar los parches en la producción. Un
mecanismo de lanzamiento consta de los procesos, herramientas y tecnologías necesarios para
completar la implantación. Durante este proceso, usted selecciona el mecanismo de
lanzamiento y diseña, desarrolla y prueba el mecanismo, la instalación del lanzamiento y los
resultados de la implantación del lanzamiento.

111
112 Guía Microsoft de Gestión de Parches de Seguridad

El mecanismo de lanzamiento que usted elija puede verse muy influido por la prioridad asignada
a un parche durante el proceso de clasificación. Los lanzamientos que necesiten implantarse
rápidamente pueden requerir múltiples mecanismos de lanzamiento para garantizar la
implantación.
Las siguientes consideraciones sobre el lanzamiento le ayudarán a seleccionar el mecanismo
de lanzamiento adecuado. El mecanismo que usted elija debe garantizar que el lanzamiento
pueda ser:
• Implantado rápidamente sobre los enlaces más débiles de su entorno.
• Instalado remotamente sin necesitar intervención del usuario.
• Configurado para permitir a los usuarios guardar su trabajo antes de que el sistema se
reinicie.
• Instalado sólo en aquellos ordenadores que necesitan aplicar el parche.
• Registrado con suficiente detalle para que las auditorías posteriores a la implantación
puedan determinar el éxito o el fracaso.
• Integrado con el proceso construido estándar.

Nota: Lea cuidadosamente el artículo de la Knowledge Base (KB) de cada actualización de


software. Si la actualización de software no puede desinstalarse, asegúrese de desarrollar los
recursos necesarios para realizar una restauración en caso de que el lanzamiento interfiera con
el buen funcionamiento de algún equipo. Esto puede incluir reconstruir el ordenador o reinstalar
aplicaciones.

Comprensión de los Paquetes de Actualizaciones de Software


Las actualizaciones de software de distintos productos de Microsoft pueden empaquetarse con
distintos instaladores para satisfacer las necesidades únicas de cada producto. Los diferentes
instaladores pueden tener distintos parámetros de líneas de comando y distintas capacidades
(por ejemplo, desinstalar).
Los siguientes recursos describen cómo se nombran varias actualizaciones de software, qué
instaladores usa cada actualización de software y los switches de línea de comando disponibles
con cada instalador, así como recursos relacionados.

Nota: Microsoft está estandarizando los parámetros de líneas de comando de todos los
paquetes de actualizaciones de software. Asegúrese de comprobar los switches de línea de
comando que acompañan a los artículos KB de las actualizaciones de software para conocer
las mejoras en cuanto se producen.
Muchas de las siguientes referencias usan el término revisión para referirse a un tipo de
actualización de software que no es un service pack; en la nueva nomenclatura de
actualizaciones de software, una revisión es una reparación que no es pública; es posible que
los siguientes recursos no reflejen esta nueva taxonomía.

Windows NT 4.0
Las actualizaciones de software para Windows NT 4.0 y Windows 2000 SP3 y anteriores
incluyen un instalador llamado Hotfix.exe.
Cómo Instalar y Eliminar Revisiones con HOTFIX.EXE:
http://support.microsoft.com/?kbid=184305.
Los Paquetes de Revisiones No Incluyen los Archivos de Símbolo de Depuración de Código:
http://support.microsoft.com/?kbid=814411.

112
Guía Microsoft de Gestión de Parches de Seguridad 113

Windows 2000, Windows XP y Windows Server 2003


Las actualizaciones de software para Windows 2000 SP4 y posteriores, Windows XP y
Windows Server 2003 incluyen un instalador llamado Update.exe. Update.exe es una nueva
versión del instalador Hotfix.exe.
Nueva Nomenclatura para los Paquetes de Revisiones de Microsoft Windows:
http://support.microsoft.com/?kbid=816915.
Descripción del Programa Hotfix.exe y de los Switches de Línea de Comando:
http://support.microsoft.com/?kbid=262841.
Cómo Instalar Múltiples Actualizaciones o Revisiones de Windows Con Un Solo Reinicio:
http://support.microsoft.com/?kbid=296861.
Cómo Instalar Actualizaciones de la Máquina Virtual de Microsoft Sin Reiniciar Su Equipo:
http://support.microsoft.com/?kbid=304930.
Internet Explorer
Las actualizaciones de software para Internet Explorer incluyen un instalador llamado
IExpress.exe.
Switches Comunes de Líneas de Comando para Auto Instalar Archivos de Actualización:
http://support.microsoft.com/?kbid=197147.
Office 2000 y Office XP
Las actualizaciones de software para Microsoft Office 2000 y XP incluyen un instalador llamado
Ohotfix.exe. Ohotfix.exe es una lanzadera de archivos MSP (parche de Windows Installer) y usa
Windows Installer para instalar actualizaciones de software.
Nueva Nomenclatura para los Paquetes de Revisiones de Microsoft Office:
http://support.microsoft.com/?kbid=816916.
White Paper: Implantación de Parches en Microsoft Office XP:
http://support.microsoft.com/?kbid=330043.
Instalación de Archivos de Actualizaciones Cliente con OHotFix:
http://www.microsoft.com/office/ork/xp/journ/ohotfix.htm.
Lista de Errores de Instalación de OHotFix:
http://support.microsoft.com/?kbid=324246.
Exchange Server
Las actualizaciones de software para Microsoft Exchange 5.0 y Exchange 5.5 (sobre Windows
NT 4.0) incluyen SMS Installer. Las actualizaciones de software para Exchange 2000 usan
Update.exe excepto para los service packs, que usan una instalación personalizada.
Nueva Nomenclatura para los Paquetes de Revisiones de Exchange Server:
http://support.microsoft.com/?kbid=817903.
Hotfix de Switches de Líneas de Comando Posterior al Service Pack 3 de Exchange 2000
Server:
http://support.microsoft.com/?kbid=331646.
SQL Server 7.0 y SQL Server 2000
Las actualizaciones de software para Microsoft SQL Server usan varios instaladores,
dependiendo del tipo de actualización de software, la plataforma y la versión de SQL Server.
Instalador de Revisiones de SQL Server:
http://support.microsoft.com/?kbid=330391.

113
114 Guía Microsoft de Gestión de Parches de Seguridad

Visual Studio
Microsoft Visual Studio 6.0 usa IExpress para los instaladores de actualizaciones de software.
Visual Studio .NET utiliza Windows Installer 2.0 con un empaquetador (wrapper) para los
paquetes de actualizaciones de software.
Nomenclatura Para los Paquetes de Revisiones Redistribuibles de Microsoft Visual Studio .NET,
.NET Framework y Visual J#:
http://support.microsoft.com/?kbid=822464.

Test de Aceptación
El objetivo de las pruebas que se realizan en este punto es confirmar que el lanzamiento
funciona correctamente dentro de un entorno de desarrollo. El test de aceptación permite a los
administradores de la empresa ver su plan de implantación y los mecanismos del lanzamiento
funcionar juntos en un entorno que refleja fielmente el de producción.
Además, el test de aceptación necesita demostrar que su plan de implantación no afectará
negativamente a su entorno de producción. En algunos casos, puede ser necesaria una
implantación piloto en un pequeño grupo de usuarios de producción, además del test de
pruebas, para crear confianza para proceder al lanzamiento en toda la empresa.

Nota: Realizar un test exhaustivo de aceptación puede ser muy difícil en los entornos en los que
no todos los ordenadores se han instalado usando un estándar de construcción similar. A
menudo no es posible reproducir todas las configuraciones informáticas distinta que pueden
existir en su entorno. Si éste es el caso, céntrese en asegurarse de que sus procesos de copia
de seguridad de datos se completan como estaba previsto y de que sus procesos de
restauración pueden ejecutarse tal como están diseñados.

Para asegurarse de que los lanzamientos no impactarán negativamente sobre el entorno de


producción, debe probar todos los lanzamientos en una infraestructura que reproduzca
eficazmente las condiciones que existen en el entorno de producción. El entorno de pruebas
debe estructurarse también para manejar los nuevos ordenadores que estén por debajo de la
línea de referencia operacional Por ejemplo, si un ordenador nuevo tiene Windows XP sin
ningún parche, su mecanismo de lanzamiento debe instalar todas las actualizaciones de
software necesarias para colocar el ordenador sobre la línea de referencia operacional
establecida.

Nota: Para acelerar el proceso del test de aceptación, o cuando no es posible probar todos los
tipos de ordenador de su entorno, puede buscar grupos de noticias relacionados con la
seguridad para obtener información sobre boletines de seguridad concretos y las
actualizaciones de software relacionadas. Puede acceder a los grupos de noticias relacionados
con la seguridad configurando su lector de grupos de noticias (por ejemplo, Microsoft Outlook
Express) para que apunte a news://msnews.microsoft.com y filtrando la lista de grupos de
noticias disponibles mediante la palabra “seguridad”. Los usuarios suelen publicar sus
experiencias de implantación de actualizaciones de software en estos grupos de noticias.
También puede visitar el sitio Web de Seguridad de Microsoft para obtener los boletines de
seguridad y las noticias más recientes en
http://www.microsoft.com/spain/technet/seguridad/default.asp. En él se publican las
actualizaciones de los boletines de seguridad y cualquier asunto que pueda afectar a su
proceso de test de aceptación.

114
Guía Microsoft de Gestión de Parches de Seguridad 115

Planificación y Preparación del Lanzamiento


Debe preparar el entorno de producción para cada nuevo lanzamiento individual. Las tareas y
actividades necesarias para preparar el lanzamiento dependerán del lanzamiento y del
mecanismo seleccionado para realizarlo. Las tareas comunes incluyen comunicar información
sobre el lanzamiento a los usuarios y el resto del personal, formar al equipo de servicios de
soporte técnico y de escritorio, hacer copias de seguridad de los componentes TI críticos y
configurar su mecanismo de lanzamiento consecuentemente.
Al prepararse para el lanzamiento, será necesario ofrecer comunicación avanzada a los
usuarios e informar al equipo de soporte del plan de implantación. Asegúrese también de
identificar los posibles procedimientos de restauración. Los métodos para desinstalar parches
pueden variar desde el soporte completo para la desinstalación o los pasos para la
desinstalación manual, hasta la no desinstalación. Asegúrese de tener un plan de restauración
definido por si la implantación no tiene el mismo éxito que en el entorno de pruebas.

Implantación del Lanzamiento


El proceso de trasladar el lanzamiento al entorno de producción dependerá del tipo y la
naturaleza del lanzamiento, así como del mecanismo de lanzamiento seleccionado. Sin
embargo, en todos los casos será necesario sincronizar los entornos de pruebas y de
producción y estar preparado para controlar y supervisar el progreso de la implantación.
Idealmente, las actualizaciones de software deberían implantarse por fases. Siguiendo una
implantación por fases, minimiza el impacto de algún fallo o aspecto negativo que pudiese ser
introducido por la distribución inicial de un parche.

115
116 Guía Microsoft de Gestión de Parches de Seguridad

Revisión de los Cambios


Conforme implanta parches de seguridad en su empresa, necesitará revisar y supervisar su
entorno para asegurarse de que los parches se han aplicado correctamente. Las secciones
siguientes tratan algunos de los pasos que puede seguir para comprobar si un parche se ha
instalado correctamente. También se abordan las consideraciones para detener una
implantación y para desinstalar un parche.

Confirmación
Las siguientes acciones le ayudarán a confirmar la correcta implantación de los parches en su
entorno:
• Use los informes de rastreo de vulnerabilidades para supervisar la implantación de
las actualizaciones de software que pueden detectar. Analice los rastreos de su entorno
después de la implantación para comprobar que la actualización de software ya no aparece
como “sin aplicar”. Necesitará determinar cuándo es mejor repetir el proceso de gestión del
lanzamiento para tratar los ordenadores que no han recibido la actualización como se
esperaba.
• Supervise el estado de su ordenador. Como práctica recomendada, supervise un grupo
de ordenadores que representen su entorno y busque cualquier incoherencia que pueda
afectar negativamente a los usuarios. También puede revisar los registros de eventos y del
sistema de los ordenadores de su entorno para obtener información sobre el éxito o el
fracaso de la implantación de un parche de seguridad. Pueden incluir nuevos mensajes de
error que podrían indicar un problema con un parche de nueva aplicación.
• Supervise las llamadas al servicio de soporte. Busque nuevos patrones de llamadas
similares de usuarios. Las quejas comunes de los usuarios y las caídas del sistema podrían
estar relacionadas con la implantación reciente de un parche de seguridad.

Restauración
Como parte de toda implantación de parches, necesitará definir un plan de restauración por si la
implantación no tiene el mismo éxito que en el entorno de pruebas.
Éstos son los pasos principales para restaurar y reimplantar parches:
• Detener la implantación en curso. Identificar los pasos necesarios para desactivar los
mecanismos de lanzamiento empleados en su entorno.
• Identificar y resolver los problemas de la implantación del parche. Determinar qué es
lo que provoca que falle la implantación de un parche. El orden en que se aplican los
parches, el mecanismo de lanzamiento empleado y los fallos del propio parche son todos
causas posibles para una implantación fallida.
• Desinstalar los parches si es necesario. Los parches que introducen inestabilidades en
su entorno de producción deben eliminarse, si es posible.
• Reactivar los mecanismos de lanzamiento. Después de resolver los problemas del
parche, reactive los mecanismos de lanzamiento adecuados para reimplantar los parches.
Desafortunadamente, debido a que múltiples instaladores de tecnologías se usan para instalar
parches, no todos los parches de seguridad se pueden desinstalar. Los boletines de seguridad
publicados por Microsoft indican siempre si un parche puede o no desinstalarse. Dado que no
siempre es posible revertir un ordenador a su estado anterior, preste atención a este detalle
antes de implantar un parche que no se puede desinstalar.

116
Guía Microsoft de Gestión de Parches de Seguridad 117

Cuando no existe un proceso de desinstalación simple para un parche de seguridad, asegúrese


de contar con los mecanismos necesarios para devolver sus ordenadores críticos a su estado
original en el improbable caso de que la implantación de un parche de seguridad haga fallar a
un ordenador. Estos mecanismos pueden incluir el tener ordenadores y mecanismos de copia
de seguridad de datos de sobra para reconstruir rápidamente un ordenador que falla.

Revisión Tras la Implementación


La revisión tras la implementación debe realizarse generalmente entre una y tres semanas
después de la implantación de un lanzamiento para identificar las mejoras que deben hacerse
en el proceso de gestión de parches de seguridad. La agenda típica de la revisión incluye:
• Debate sobre los resultados previstos y los obtenidos
• Debate sobre los riesgos asociados al lanzamiento
• Debate sobre las lecciones aprendidas.
Después de la revisión, hay varias acciones de seguimiento posibles, incluyendo determinar si
son necesarios cambios adicionales y distribuir documentación sobre las lecciones aprendidas.

117
118 Guía Microsoft de Gestión de Parches de Seguridad

Técnicas para un Lanzamiento de Seguridad


Resumen
Lista de Técnicas de Lanzamiento de Seguridad WU SUS SMS

Técnicas de Gestión del Lanzamiento


Implantación por Fases con SUS Sí
Implantación por Fases con SMS Sí
Técnicas de Revisión de Cambios
Confirmar las Implantaciones de SUS y WU Sí
Confirmar la Implantación de SMS Sí

Técnicas de Gestión del Lanzamiento


Las siguientes técnicas le ayudarán a implementar un planteamiento por fases para llevar a
cabo las implantaciones de actualizaciones de software.
Implantación por Fases con SUS
Entorno: WU … SUS 5 SMS …

Propósito: Controlar el lanzamiento de los parches implantándolos en distintas


partes de su entorno mediante un planteamiento por fases.
Prerrequisitos: Una infraestructura SUS compuesta por múltiples servidores
Escala: Las técnicas se pueden escalar a entornos de todos los tamaños.

Si su entorno SUS se compone de varios servidores, puede realizar un lanzamiento por fases
aprobando los parches en distintos momentos en cada servidor SUS. Primero debe aprobar la
actualización en el servidor SUS principal. Una vez que la actualización se ha implantado
correctamente en los clientes soportados por ese servidor, puede sincronizar la lista de
aprobaciones en el servidor SUS secundario que soporta a los clientes de la siguiente fase del
lanzamiento.
Por ejemplo, se va a lanzar una actualización con impacto sobre todos los clientes Windows
primero sobre los clientes de Seattle y, una vez terminada la implantación, se hará sobre los
clientes de Atlanta. En este ejemplo, el servidor SUS de Atlanta es un servidor secundario del
servidor SUS de Seattle.
Al aprobar una actualización en el servidor SUS de Seattle, los clientes comenzarían a
descargar e instalar la actualización. Una vez que se ha completado la implantación de Seattle y
que usted ha determinado que la actualización no tiene efectos adversos sobre su entorno de
producción, puede configurar el servidor de Atlanta para sincronizar su lita de aprobaciones con
la lista del servidor SUS de Seattle. En cuanto las listas de aprobaciones se hayan sincronizado
correctamente, las actualizaciones aprobadas en el servidor de Seattle estarán disponibles para
los clientes soportados por el servidor de Atlanta.

118
Guía Microsoft de Gestión de Parches de Seguridad 119

Por defecto, los servidores SUS están configurados para sincronizar su contenido directamente
de los servidores Microsoft Windows Updates y es necesario aprobar las actualizaciones en
cada servidor. Para reducir la cantidad de tareas administrativas necesarias para el proceso de
implantación por fases, puede establecer relaciones primario/secundario entre los servidores
SUS que le ayudarán a garantizar que las aprobaciones de las actualizaciones adecuadas se
dan en todo su entorno. Para más información, consulte la sección “Sincronizar Contenido con
Otro Servidor” del white paper Implantación de Software Update Services:
http://www.microsoft.com/windows2000/windowsupdate/sus/susdeployment.asp.

Nota: Otra técnica para dividir la implantación en fases implica la planificación de la instalación
del cliente Automatic Updates de modos distintos para los grupos de clientes.

Implantación por Fases con SMS


Entorno: WU … SUS … SMS 5

Propósito: Controlar el lanzamiento de los parches implantándolos en distintas


partes de su entorno mediante un planteamiento por fases.
Prerrequisitos: Una jerarquía SMS en funcionamiento y sana.
Escala: Las técnicas se pueden escalar a entornos de todos los tamaños.

Dependiendo del tamaño de su jerarquía SMS, puede crear colecciones basadas en subredes
conocidas y distribuir el software a un subconjunto de la población. Este funcionamiento por
fases le permite supervisar la distribución más eficazmente.
Para realizar una implantación por fases:
1. Determine sus criterios de subconjunto. ¿Realizará la distribución por subredes? ¿Por el
sistema operativo? ¿Por los sitios de Directorio Activo? ¿Por departamento? Su entorno y
su empresa le ayudarán a determinarlo.
2. Cree Colecciones basadas en una consulta SMS que ordene los clientes gestionados por
SMS. Por ejemplo, ordene una colección SMS por servidores y otra por estaciones de
trabajo en cada unidad organizativa, sitio SMS o sitio de Directorio Activo.
3. Cree el Paquete.
4. Cree el Aviso.
5. Asigne el Aviso a su primera Colección.
6. Cuando sepa que la implantación ha tenido éxito en el primer grupo, asigne el Aviso a su
segunda Colección y así sucesivamente.

119
120 Guía Microsoft de Gestión de Parches de Seguridad

Técnicas de Revisión de los Cambios


Las siguientes técnicas le ayudarán a supervisar el progreso y a restaurar las implantaciones de
actualizaciones de software.
Confirmar Implantaciones de SUS y WU
Entorno: WU 5 SUS 5 SMS …

Propósito: Determinar si los ordenadores de su entorno han instalado


correctamente los parches implantados mediante SUS o WU.
Prerrequisitos: Debe haber implementado los rastreos MBSA de vulnerabilidades,
como se explica en la Parte II, Capítulo 2, “Instalación”.
Escala: La revisión de los registros de eventos en los entornos grandes
suele limitarse a los ordenadores críticos. El informe de IIS funciona
eficazmente en entornos de cualquier tamaño.

Analizar Rastreos de Vulnerabilidades, Registros de Eventos y el Registro


Las acciones siguientes le ayudarán a confirmar la correcta implantación de las actualizaciones
de software en su entorno:
• Use MBSA para supervisar la implantación de las actualizaciones de software que
puede detectar esta herramienta. Analice el rastreo que MBSA hace de su entorno
después de la implantación de un parche para comprobar que la actualización no figura
como no aplicada en el informe de MBSA. Necesitará desarrollar un plan para tratar los
ordenadores que no reciben una actualización según lo previsto. En la mayor parte de los
casos, puede esperar hasta que los ordenadores se sincronicen de nuevo con los
servidores SUS de su entorno, pero dependiendo de la seguridad y del nivel de exposición
de su entorno respecto a una vulnerabilidad determinada, es posible que necesite tomar
medidas más drásticas.
• Compruebe el registro del ordenador. Muchas actualizaciones de software registran
información en la siguiente ubicación del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates
La información de la actualización se organiza por producto e incluye una descripción de la
actualización, quién la ha instalado, la fecha de instalación y el comando de desinstalación,
si es aplicable.
La sección Información Adicional del boletín de seguridad proporciona las entradas del
registro realizadas por el paquete de instalación del parche de seguridad para todos los
sistemas operativos aplicables.
• Compruebe el registro de eventos en busca de errores relacionados con SUS en los
clientes Automatic Updates. La lista completa de posibles eventos para el cliente AU está
en el Apéndice C, “Registro del Estado del Cliente” del white paper Implantación de
Software Update Services:
http://www.microsoft.com/windows2000/windowsupdate/sus/susdeployment.asp.
• Revise los registros de IIS en el servidor SUS de su entorno. Compruebe que http
devuelve códigos (por ejemplo, “http 404 – Archivo no Encontrado”) para cada entrada; así
sabrá si los ordenadores experimentan problemas de descarga.
• Busque errores en el archivo “Windows update.log” en los ordenadores críticos de
su entorno. Este archivo contiene un registro de todas las actividades realizadas por el
cliente AU. Se encuentra en la raíz de la carpeta del sistema de cada ordenador cliente (por
ejemplo, C:\Windows).

120
Guía Microsoft de Gestión de Parches de Seguridad 121

• Compruebe el estado del cliente AU en el registro. El valor AUState indica si queda


pendiente la instalación de algún parche. Este valor se almacena en la siguiente ubicación:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsU
pdate\Auto Update
El valor de AUState debe ser 2 para que el cliente busque las nuevas actualizaciones
aprobadas. Si AUState se fija en 5, el cliente deja pendiente la instalación de las
actualizaciones descargadas y no realiza una nueva detección hasta haber instalado estas
actualizaciones. El cliente volverá a fijar AUState en 2 después de la instalación.
• Tenga cuidado con las inestabilidades del sistema. Como práctica recomendada,
supervise un grupo de ordenadores que representen su entorno para buscar cualquier
detención del sistema que pueda afectar negativamente a los usuarios. Supervise las
llamadas a su servicio de soporte para localizar pautas comunes de quejas de los usuarios
y caídas del sistema que puedan estar relacionadas con la reciente implantación de un
parche de seguridad.
• Compruebe la carpeta de desinstalación. La información de desinstalación de muchos
parches se almacena en una carpeta escondida bajo la carpeta del sistema (por ejemplo,
C:\Windows\$NtUninstallQ331320$). La presencia de estas carpetas en el sistema es un
buen indicador de que el parche se ha instalado correctamente.
Configurar los Informes de IIS
Los clientes Automatic Updates (AU) pueden configurarse para que devuelvan información de
estado al servidor SUS o a otro servidor IIS 5.0 con el registro activado. La información de
estado del cliente AU se muestra como datos del registro IIS en estado original dentro de los
registros IIS. Para leer información detallada sobre cómo interpretar correctamente la
información del registro y cómo optimizar IIS para el registro de clientes AU, vea el Apéndice C,
“Registro del Estado del Cliente” del white paper Implantación de Software Update Services:
http://www.microsoft.com/windows2000/windowsupdate/sus/susdeployment.asp.
El cliente AU comunica su estado al servidor especificado en estos casos:
• Durante la Auto actualización: si la auto actualización queda pendiente
• Después de la Auto actualización: éxito o fallo de la auto actualización
• Durante la Detección: éxito o fallo del inicio
• Después de la Detección: éxito o fallo de la detección
• Después de la Descarga: éxito, rechazo o fracaso de la descarga
• Después de la Instalación: éxito, rechazo o fracaso de la instalación
La revisión de estos registros le proporciona un método fiable y eficaz para supervisar la
instalación de un parche de seguridad cuando lo lanza en su entorno.

Note: SUSserver.com ofrece una utilidad de informes SUS para construir un informe basado en
el archivo de registro IIS de un servidor SUS. Para más información, consulte la Utilidad de
Informes de SUS:
http://www.susserver.com/Software/SUSreporting/.
SUSserver.com no está asociado ni avalado por Microsoft.

121
122 Guía Microsoft de Gestión de Parches de Seguridad

Desinstalar una Actualización


Si usted decide que necesita desinstalar un parche de seguridad, generalmente puede hacerlo
mediante el elemento Agregar o Quitar Programas del Panel de Control. Desinstalar un
parche puede ser una tarea pesada en la mayoría de los entornos. Sin embargo, a menudo es
posible eliminar un parche ejecutando su comando de desinstalación. Éste es un ejemplo de un
comando típico de desinstalación:

C:\WINNT\$NtUninstallQ331953$\spuninst\spuninst.exe

Puede incluir comandos de desinstalación en un script de inicio de sesión o en los scripts de


inicio del equipo y asignarlo mediante la Directiva de Grupo de Directorio Activo para
automatizar la eliminación de varias actualizaciones de software.

Note: Este comando en concreto desinstalaría el parche relacionado con el boletín de seguridad
MS03-010. El número del artículo de la Knowledge Base que contiene información específica
sobre el parche de seguridad se menciona como parte del nombre de las carpetas de
desinstalación. El ejemplo anterior se refiere al artículo 331953 de la Knowledge Base.

Confirmar la Implantación de SMS


Entorno: WU … SUS … SMS 5

Propósito: Determinar si los ordenadores de su entorno han instalado


correctamente los parches implantados mediante SMS.
Prerrequisitos: Sistemas de distribución de software y estado sanos. Tener la
herramienta Informes Web instalada en un servidor que ejecute IIS.
Escala: Las técnicas se escalan a entornos de cualquier tamaño.

Systems Management Server ofrece los siguientes métodos para revisar el éxito o el fracaso de
la implantación de un parche:
• Estado del Aviso de la Consola del Administrador de SMS
• Herramienta Informes Web
• Visor del Estado del Aviso
• Archivos de Registro de SMS
Estado del Aviso de la Consola del Administrador de SMS
En cada consola del Administrador de SMS, Estado del Aviso contiene un resumen para cada
aviso distribuido por SMS y un resumen de las estadísticas del aviso en todos los sitios de la
jerarquía. Esta información le permite supervisar proactivamente el proceso de implantación del
parche. El Sistema de Estado incluye varios elementos de consola que describen el estado de
las distribuciones de software:
• Resumen del Estado del Paquete
• Resumen del Estado del Aviso
• Información Detallada del Paquete
• Información Detallada del Aviso
• Mensajes informativos, de error y de aviso

122
Guía Microsoft de Gestión de Parches de Seguridad 123

Herramienta de Informes Web


La Herramienta de Informes Web de Microsoft se incluye en el Feature Pack de SUS para SMS:
Instalada como un sitio IIS, la herramienta de Informes Web proporciona una visión Web,
gráfica, de los datos SMS. Puede ver los informes de actualizaciones de software que ofrece el
complemento Informes Web para Actualizaciones de Software de la lista bajo el nodo
Actualizaciones de Software en la herramienta Informes Web.
El complemento Informes Web para Actualizaciones de Software contiene varios informes
prediseñados que puede usar para ver la información sobre una actualización de software
concreta. Además de usar los informes prediseñados, también puede usar las vistas de SQL
Server y el esquema de inventario documentado para crear informes de inventario de
actualizaciones de software personalizados y ajustados a las necesidades de su empresa.
Para más información sobre la Herramienta de Informes Web, vea la Presentación de Soporte
Online (webcast) de Microsoft “Crear Informes de Systems Management Server Mediante la
Herramienta Informes Web de SMS”:
http://support.microsoft.com/?kbid=325071.
Visor de Estado de Avisos
Puede usar la herramienta Visor de Estado de Avisos para ver el estado exhaustivo de un aviso
en los clientes SMS individuales o en las colecciones en varios intervalos definidos por el
usuario.
El Visor de Estado del Aviso:
• Muestra el estado de un aviso dado en todos los clientes que deben recibirla; es decir,
todos los clientes a los que está dirigido el aviso.
• Muestra qué clientes no han recibido el aviso. Esto puede ayudarle con los ordenadores
portátiles, etcétera (saber qué clientes no han recibido la actualización es difícil a través de
los mensajes de estado, porque esta condición existe cuando el cliente no ha comunicado
todavía un mensaje de estado sobre el aviso).
• Muestra estadísticas porcentuales completas, como el porcentaje de clientes que ha
ejecutado correctamente el aviso, el porcentaje que no lo ha recibido, etcétera.
• Aborda las situaciones en que la aviso se dirige a una colección y todas sus
subcolecciones. En este caso, se emiten consultas recurrentes para determinar el conjunto
total de clientes de la colección.
• Para una colección dada, muestra el estado de todos los avisos que debe recibir cada
ordenador de la colección. El estado no se limita sólo a los avisos dirigidos a esa colección;
también incluye los dirigidos a cualquier colección a la cual pertenezca alguno de esos
clientes.
• Muestra el texto original de los mensajes de estado. Además del texto original del mensaje,
muestra el texto de todas las clases WMI asociadas con un cierto mensaje de estado.
• Puede imprimir y guardar el estado.
El Visor de Estado de Avisos es parte de las Herramientas de Soporte del Service Pack de
Systems Management Server 2.0:
http://www.microsoft.com/smserver/downloads/20/tools/spsupport.

123
124 Guía Microsoft de Gestión de Parches de Seguridad

Archivos de Registro de SMS


Además de buscar en la información proporcionada por SMS a través de los servicios del sitio,
usted puede revisar los archivos de registro que residen en el cliente y el servidor. Revisar la
información del servidor de sitio y de los archivos de registro del cliente le ofrece un panorama
completo para resolver eficazmente los problemas. Algunas veces, revisar la información de
ambas ubicaciones es la única manera de resolver un problema de entrega de software.
Para más información sobre los Archivos de Registro del Servidor y el Cliente de SMS, consulte
la Documentación del Producto de SMS, Apéndice D, “Flujo del Sistema”:
http://www.microsoft.com/technet/prodtechnol/sms/proddocs/smsadm/appendixes/smsadad.asp.

Nota: la configuración predeterminada del archivo de registro para el cliente SMS es de 100 KB.
En algunos casos, este tamaño de archivo puede no ofrecer suficiente información para
diagnosticar un problema.
Puede cambiar el tamaño del archivo en el cliente modificando la clave de registro adecuada:
HKEY_LOCAL_MACHINE\Software\Microsoft\SMS\Client\Configuration\Client Properties
Nombre del Valor: Tamaño del Archivo de Registro para Depurar
Tipo de Datos: DWORD
Valor: 400 (hexadecimal) para un tamaño máximo del archivo de registro de 1 MB.

El Agente Cliente de Programas y Avisos de SMS usa los Mensajes de Estados con números
comprendidos entre 10000 y 10021. Usted usa estos números de Mensaje de Estado para
supervisar el proceso de Distribución de Software y para construir sus propias Consultas de
Mensaje de Estado. Las Consultas de Mensaje de Estado que se instalan con SMS se basan en
esos números de ID del mensaje.
Para ver el rango completo de mensajes de estado que produce SMS, consulte el Kit de
Recursos de SMS, Capítulo 26, “Mensaje de Estado”:
http://www.microsoft.com/technet/prodtechnol/sms/reskit/sms2res/part8/smc26.asp.

Deshacer una Implantación SMS


Para deshacer una implantación mediante SMS:
1. Detenga la implantación del paquete activo.
2. Identifique y resuelva los problemas.
3. Desinstale la actualización.
4. Realice de nuevo el aviso del paquete.
Si una implantación no tiene éxito, debe tener un plan para detener el lanzamiento, desinstalar
las actualizaciones fallidas y reimplantarlas. SMS le proporciona esta capacidad a través de los
métodos siguientes.
Detener la Implantación de un Paquete
Desde el nodo de paquetes del administrador SMS, seleccione el programa que quiere detener
temporalmente. En la pestaña Propiedades Avanzadas del Programa, seleccione
Deshabilitar este programa en los ordenadores advertidos. Esto detendrá los avisos
basados en el programa incluso aunque estén asignados como obligatorios y configurados para
comenzar a una hora concreta.

124
Guía Microsoft de Gestión de Parches de Seguridad 125

Al seleccionar Deshabilitar este programa en los ordenadores advertidos, el aviso del


programa acabará o se detendrá hasta que usted desactive esa opción. Esta forma de detener
la implantación de un paquete activo es el más usado cuando necesita reemplazar los archivos
fuente existentes en sus servidores de punto de distribución. Mientras está detenida o pausada
la implantación de un paquete activo, usted puede probar el programa del paquete o reemplazar
archivos. Seleccionar esta opción deja intactos los archivos fuente y no los borra, ni tampoco la
carpeta que los contiene.
Rehacer el Aviso de un Paquete
Puede conseguir fácilmente reenviar el mismo paquete añadiendo una programación adicional
al aviso existente. Este procedimiento obligará al cliente a reinstalar el paquete, incluso si lo
había recibido y ejecutado antes.
Si ha borrado el aviso y necesita reenviar el paquete a los mismos clientes, puede crear un
nuevo aviso y añadir dos planificaciones. La primera planificación del aviso no debe ejecutarse
porque el cliente compara la ID del paquete y sabe que ya lo ha ejecutado. La segunda
planificación del aviso será la “verdadera” y el cliente reconocerá que la ID del paquete es
nueva, por lo que lo ejecutará el aviso de nuevo.
Puede continuar ejecutando el mismo anuncio una y otra vez añadiendo otra planificación al
aviso. Ésta es una gran solución cuando está realizando pruebas en los ordenadores del
laboratorio y necesita reenviar el paquete con rapidez. Este procedimiento puede ayudarle a
probar adecuadamente los parches antes de estar listo para implantarlos en su entorno de
producción.
Desinstalar una Actualización
Algunas de las actualizaciones lanzadas por Microsoft incluyen una ruta de desinstalación, pero
otras no. Tendrá que determinar qué parches pueden desinstalarse revisando los detalles
técnicos del boletín de seguridad. Para desinstalar un parche mediante SMS, sólo necesita
conocer el comando de desinstalación. Las actualizaciones de Microsoft suelen colocar una
referencia en el registro que incluye el comando de desinstalación siempre que es posible.
Puede crear un paquete SMS que devuelva esta información desde el registro y después actúe
sobre ella. Distribuya este paquete del mismo modo que implantaría el lanzamiento, usando los
procedimientos de Anuncio SMS.
SMS incluye un programa llamado SMS Installer, una herramienta de creación de paquetes.
Puede usar SMS Installer para generar el paquete para desinstalar un parche enumerado en la
clave de registro Agregar/Quitar Programas. En la clave de registro Agregar/Quitar
Programas se ordenan las actualizaciones por el número de su artículo de la Knowledge Base,
por ejemplo, 331953. Cada actualización suele utilizar un comando especial de desinstalación
que también hace referencia al número del artículo de la Knowledge Base. Éste es un ejemplo
general de comando de desinstalación:
C:\WINNT\$NtUninstallQ331953$\spuninst\spuninst.exe
El uso de SMS Installer para obtener esta información e iniciar la línea de comando de
desinstalación es relativamente simple. SMS Installer Script.ipf, un script de SMS Instaler de las
Herramientas y Plantillas de SMS que acompañan a esta guía, le muestra cómo funciona el
proceso.
Para más información sobre SMS Installer, consulte la lista de libros sobre SMS:
http://www.microsoft.com/smserver/techinfo/books.

125
126 Guía Microsoft de Gestión de Parches de Seguridad

126
Guía Microsoft de Gestión de Parches de Seguridad 127

5
Aplicar la Directiva de Seguridad

Resumen
La implantación de un parche de seguridad no elimina el riesgo asociado con la vulnerabilidad.
Muchas empresas tienen un cierto nivel de administración descentralizada (por ejemplo,
múltiples grupos con permisos administrativos o usuarios finales con permisos administrativos
sobre sus ordenadores), estándares de instalación de ordenadores de línea de referencia
inexistentes o no restringidos u ordenadores no administrados (por ejemplo, ordenadores de
laboratorio o “servidores bajo escritorios”) en su entorno.
Puede haber razones empresariales válidas para estas situaciones, o puede que el entorno TI
no tenga en funcionamiento controles administrativos regulados. En cualquier caso, la gestión
de vulnerabilidades es una actividad importante estrechamente relacionada con la gestión de
parches de seguridad.
Las vulnerabilidades de seguridad aflorarán en esos entornos incluso después de que el
proceso de lanzamiento de seguridad haya implantado eficazmente un parche de seguridad.
Las vulnerabilidades pueden repetirse fácilmente cuando se instalan o reinstalan nuevos
ordenadores o software, cuando se cambia la configuración o cuando se produce un
lanzamiento de seguridad que no abarca los ordenadores no administrados.
Toda la actividad y el coste de la gestión de parches de seguridad se desperdician sin un
enfoque global para tratar las vulnerabilidades que se repiten en el entorno. Las
vulnerabilidades recurrentes son, en potencia, más peligrosas que cuando se anuncian por
primera vez; la probabilidad de que se explote una vulnerabilidad con herramientas de ataque
que la identifiquen es mucho mayor.

Nota: Para más información sobre cómo gestiona las vulnerabilidades el Grupo de Operaciones
y Tecnología de Microsoft, consulte Gestión de las Vulnerabilidades Informáticas en Microsoft:
http://www.microsoft.com/technet/itsolutions/msit/security/mscomvul.asp.

127
128 Guía Microsoft de Gestión de Parches de Seguridad

Directiva de Seguridad – Estándares de Seguridad


Para hacer cumplir realmente una directiva de seguridad, debe existir tal directiva y ser
comunicada a las personas que se espera que la sigan. Una directiva de seguridad eficaz debe
identificar el estándar de seguridad mínimo para los ordenadores (basado en la tolerancia de su
empresa al riesgo), que puede incluir:
• Estándares de instalación que describan las ubicaciones y métodos de instalación
soportados.
• Estándares de red y de dominio que indiquen cómo se asignan los nombres y la
información TCP/IP y en qué dominios deben integrarse los ordenadores.
• Opciones de seguridad y parámetros de directiva del sistema operativo, incluyendo la
reducción de los puertos abiertos conforme a los servicios necesarios.
• Todos los estándares que describan el uso de los sistemas de archivos encriptados.
• Los requisitos mínimos de service packs y parches de seguridad, actualizados con cada
lanzamiento de seguridad.
• Cumplimiento del software antivirus.
• Parámetros de configuración de seguridad de las aplicaciones, como la protección de los
archivos de macros y las zonas de seguridad.
• Estándares de las cuentas administrativas, por ejemplo renombrar o deshabilitar cuentas y
configurar las cuentas señuelo.
• Estándares fiables para contraseñas.
Un estándar de seguridad puede ser distinto para cada categoría de ordenador (por ejemplo,
estaciones de trabajo, servidores y ordenadores que se conectan remotamente) y debe
evolucionar con el tiempo.
Sus estándares de seguridad y las líneas de referencia de software deben estar estrechamente
relacionados. Los estándares de seguridad pueden proporcionar datos de entrada para sus
líneas de referencia y viceversa.
La violación de una directiva de seguridad sugiere una vulnerabilidad que debe ser eliminada
del entorno. La vulnerabilidad podría ser un ordenador que carezca de varias actualizaciones de
software, esté mal configurado o cuyo usuario no utilice contraseñas sólidas.
La directiva de seguridad puede ofrecer directrices para cada tipo de violación de la directiva;
esto se puede usar para determinar la gravedad de una vulnerabilidad concreta.

Nota: Microsoft Baseline Security Analyzer (MBSA) hace un rastreo en busca de actualizaciones
de software relacionadas con la seguridad y errores comunes de la configuración de seguridad.
No efectúa escaneos para comprobar el cumplimiento de todos los elementos de la directiva de
seguridad de una empresa. En base a su directiva concreta de seguridad, es posible que usted
quiera añadir vulnerabilidades adicionales a sus informes de rastreo de vulnerabilidades a
través de scripts y otras herramientas.

Después de poner en funcionamiento una directiva de seguridad que defina los estándares de
seguridad informáticos, aplique las estrategias que le muestra la sección siguiente para tratar
las vulnerabilidades o violaciones descubiertas a través de una serie de fases.

128
Guía Microsoft de Gestión de Parches de Seguridad 129

Estrategias de Aplicación
Una vulnerabilidad de seguridad, como una contraseña débil o un ordenador que carezca de un
parche de seguridad necesario, que viole la directiva debe ser tratada como un problema
estándar por su servicio de escritorio.
Aplicar la directiva de seguridad puede ser complicado debido a la administración distribuida y a
los activos vulnerables que no se administran de forma centralizada. La persona o grupo
responsable de administrar el activo y resolver la vulnerabilidad puede no ser conocida o ser
difícil de encontrar, estar físicamente en otro departamento o carecer de las habilidades
necesarias para resolver por sí misma la vulnerabilidad.
De acuerdo con esto, hay varias prácticas necesarias y útiles en lo que se refiere a aplicar la
directiva de seguridad:
• Las directivas de seguridad, la aplicación de las líneas temporales y los enfoques tienen
que tener el soporte de la administración superior entre departamentos.
• Las técnicas y herramientas para determinar la propiedad y la información administrativa de
un ordenador no administrado deben estar disponibles para los técnicos del servicio de
escritorio.
• Se debe formar a los técnicos de servicio de escritorio para paliar todas las vulnerabilidades
que violan la directiva de seguridad, de modo que puedan ayudar a los demás a tratar las
vulnerabilidades que se les asignan.
Nota: Hay varios scripts disponibles en el Centro de Scripts de TechNet para ayudarle a
identificar remotamente la información del ordenador, si tiene usted acceso administrativo:
• Devolver la Información del Sistema:
http://www.microsoft.com/technet/scriptcenter/compmgmt/scrcm42.asp.
• Devolver las Propiedades del Sistema Operativo:
http://www.microsoft.com/technet/scriptcenter/compmgmt/scrcm40.asp.
• Identificar el Usuario Conectado a un Ordenador Remoto:
http://www.microsoft.com/technet/scriptcenter/user/scrug59.asp.
• Devolver los Valores de los Atributos para una Cuenta de Usuario Local:
http://www.microsoft.com/technet/scriptcenter/user/scrug116.asp.
Si no tiene acceso administrativo a un ordenador, sus opciones para identificar datos sobre el
mismo se ven reducidas en gran medida. Sin embargo, hay utilidades de escaneo de puertos y
otras herramientas de seguridad que pueden ser valiosas para este objetivo.
Para más información, consulte la Parte I, Apéndice A, “Herramientas y Recursos de Terceros”.

Enfoques y Límites Temporales


La directiva de seguridad debe definir qué vulnerabilidades están prohibidas en el entorno y
describir el enfoque obligatorio y los límites temporales relacionados con ello.
La naturaleza de una vulnerabilidad, por ejemplo, el riesgo de explotación y el coste de la
recuperación, debe ayudar a determinar la agresividad de la respuesta. Algunas
vulnerabilidades deben resolverse en 24 o 48 horas, mientras que otras pueden tardar una o
dos semanas en ser resueltas.

129
130 Guía Microsoft de Gestión de Parches de Seguridad

Si la vulnerabilidad se resuelve con una actualización de software, puede intentar algunos


enfoques básicos, que incluyen:
• Pedir al propietario del activo que visite Microsoft Windows Update o un sitio interno para
instalar las actualizaciones de software adecuadas.
• Forzar la actualización de software en el equipo a través de su infraestructura de
distribución de software.
Si los intentos de resolver la vulnerabilidad en el plazo de tiempo requerido no tienen éxito,
puede emplear tácticas más agresivas, como:
• Escalar el problema dentro de la empresa de quien ha violado la directiva.
• Deshabilitar la cuenta principal que se usa para acceder al ordenador.
• Eliminar el ordenador de la red desconectándolo físicamente o configurar el hardware de la
red para obtener ese mismo efecto.
Estas dos últimas tácticas desembocan generalmente en una llamada al servicio de soporte,
donde se puede discutir la vulnerabilidad y encontrar una solución aceptable. Asegúrese de
disponer del soporte ejecutivo para la directiva de seguridad antes de escalar las violaciones de
seguridad e intentar estas técnicas.
Nota: El Centro de Scripts de TechNet incluye scripts para activar y desactivar cuentas de
usuario:
http://www.microsoft.com/spain/technet/recursos/script.asp
• Desactivar una Cuenta de Usuario:
http://www.microsoft.com/technet/scriptcenter/user/scrug20.asp.
• Activar una Cuenta de Usuario:
http://www.microsoft.com/technet/scriptcenter/user/scrug25.asp.
Para leer una introducción al scripting, consulte Creación de Scripts para la Administración del
Sistema en el Entorno Windows:
http://support.microsoft.com/default.aspx?kbid=325946.

130
Guía Microsoft de Gestión de Parches de Seguridad 131

6
Respuesta Urgente de Seguridad

Resumen
Incluso con el mejor proceso de gestión de parches, su entorno tecnológico puede sufrir un
ataque. No todas las vulnerabilidades se resuelven mediante la aplicación de actualizaciones de
software, sino que pueden estar relacionadas con una configuración de seguridad débil.
Alternativamente, se podría aprovechar una vulnerabilidad de software antes de que esté
disponible la actualización de software, o incluso antes de que se haya dado a conocer
públicamente (es lo que se conoce como un ataque “cero días”). Talvez se ha aprovechado una
vulnerabilidad que se repetía en el entorno antes de ser tratada.
Independientemente, no es necesario entender por qué es usted vulnerable para darse cuenta
de que puede ser necesaria una respuesta urgente de seguridad. Para tratar eficazmente la
emergencia, necesita disponer de un plan de respuesta ante incidentes. Este capítulo identifica
los modos clave para prepararse para una emergencia, proporciona varias ideas para el plan de
respuesta ante incidentes y ofrece medidas e ideas prescriptivas sobre cómo minimizar el
impacto y asumir el control durante una situación de emergencia.

131
132 Guía Microsoft de Gestión de Parches de Seguridad

Preparación para Emergencias – Plan de


Contingencia
El plan de contingencia para la respuesta urgente de seguridad es el modo en que su empresa
debe prepararse antes de que se produzca un ataque para asegurar una respuesta coordinada
y sin problemas durante un período en el que cada segundo puede limitar el daño provocado
por un ataque.
Hay tres áreas principales que deben preparase para la respuesta urgente de seguridad:
• Herramientas y prácticas regulares de auditoría y detección de intrusiones.
• Un equipo identificado de Respuesta ante Incidentes con un plan formal de Respuesta ante
Incidentes que incluya técnicas de aislamiento y contención que puedan implementarse
rápidamente en todo el entorno.
• Establecer las acciones posteriores y un proceso de revisión para aprender del ataque.
Consideremos los siguientes tipos de ataque, que pueden implicar a diferentes personas o
distintos acercamientos en el plan de respuesta ante incidentes:
• Ataques de virus o gusanos.
• Ataques distribuidos de denegación de servicio (DoS).
• Intrusiones no autorizadas en la red.
• Abusos internos de la red.
Éstas son algunas otras prácticas recomendadas que le ayudarán a prepararse para un ataque:
• Mantener imágenes protegidas del sistema operativo (líneas de referencia) que puedan
restaurarse rápidamente en una plataforma de hardware dada para revertir el sistema a un
buen estado conocido del sistema operativo.
• Asegurarse de que su empresa conoce todas las técnicas necesarias durante un ataque.
• Asegurarse de que sus usuarios finales están formados en las directivas de seguridad y en
las directivas de usos aceptables.
• Mantener una lista con prioridades de todos los activos clave que deben protegerse primero
en caso de emergencia.
• Seguir todas las actividades de instalación para la gestión de parches de seguridad
recomendadas en esta guía, incluyendo la suscripción a las notificaciones de seguridad y el
establecimiento de informes continuos de rastreo de vulnerabilidades. Esto se aborda en la
Parte II, Capítulo 2, “Instalación”.
• Establecer y mantener información sobre la recuperación tras un desastre para todos los
sistemas. Considere invertir en activos y procedimientos de migración tras error (failover),
posiblemente en ubicaciones secundarias para los sistemas críticos.
• Mantener en CD todas las actualizaciones para usarlas si se queda sin acceso a Internet.

Nota: Microsoft Windows Update proporciona un catálogo online de actualizaciones de software


que se pueden descargar. En Windows Update, debajo de Otras Opciones, haga clic en
Personalizar Windows Update y, a continuación, seleccione Mostrar el enlace al Catálogo
de Windows Update debajo de Ver También.
Windows Update:
http://v4.windowsupdate.microsoft.com/es/.
Office Update incluye también el Centro de Descarga de Office para descargar actualizaciones
de software de Office:
http://office.microsoft.com/downloads/.

132
Guía Microsoft de Gestión de Parches de Seguridad 133

Evitar Ataques con Configuraciones de Seguridad Sólidas


Además de la gestión de parches de seguridad, hay varias prácticas recomendadas que pueden
ayudarle a evitar ataques a través de configuraciones informáticas seguras. Por ejemplo, puede
renombrar las cuentas y grupos integrados o predeterminados, porque estas cuentas suelen ser
objeto de ataques.
Hay varios recursos globales disponibles para ayudarle a proteger diversos productos Microsoft:
Proteger Windows 2000 Server:
http://go.microsoft.com/fwlink/?LinkId=14837.
Guía de Seguridad de Windows Server 2003:
http://www.microsoft.com/spain/technet/seguridad/guias/guia_ws2003.asp
Guía de Seguridad de Windows XP:
http://go.microsoft.com/fwlink/?LinkId=14839.
Amenazas y Contramedidas: Configuraciones de Seguridad en Windows Server 2003 y
Windows XP:
http://go.microsoft.com/fwlink/?LinkId=15159.
Operaciones de Seguridad para Exchange 2000 Server:
http://www.microsoft.com/technet/security/prodtech/mailexch/opsguide.
Microsoft Internet Security and Acceleration (ISA) Server, un cortafuegos empresarial
multicapas y caché Web, puede configurarse para detener los virus y gusanos antes de que
entren en su red. Para más información, vea las Medidas Preventivas:
http://www.microsoft.com/isaserver/techinfo/prevent.

133
134 Guía Microsoft de Gestión de Parches de Seguridad

Detección de Intrusiones
Algunos ataques han sido fáciles de identificar; por ejemplo, los virus por correo electrónico
Melissa y Anna Kournikova eran claramente reconocibles. Código Rojo mutilaba los servidores
Web. Otros, como SQL Slammer, no dejaron ningún signo obvio salvo el incremento del tráfico
de la red.
Hay muchos recursos en la Web que ofrecen indicadores tempranos de una actividad inusual:
• Actividad Actual del CERT (incluye listas de comprobación y directrices para la respuesta
ante incidentes):
http://www.cert.org/current/.
• Internet Storm Center:
http://isc.incidents.org.
• Servicio de Asesoría de Incidentes Informáticos (CIAC):
http://www.ciac.org/ciac/.

Supervisión de la Red
Es necesaria una combinación de herramientas y prácticas para detectar las intrusiones en la
red o en su perímetro. Éstas son algunas de las actividades e identificadores que hay que
buscar al realizar una supervisión periódica de la red:
• Busque incrementos repentinos del tráfico global. Un incremento del tráfico puede ser
explicable, por ejemplo si se ha mencionado su sitio Web en un sitio de noticias conocido.
Sin embargo, un incremento repentino e inesperado en el tráfico global puede indicar un
problema. Cree una línea de referencia del tráfico del router y el cortafuegos y compruebe
periódicamente si ha habido incrementos por encima de la línea de referencia.
• Un incremento repentino del número de paquetes deformados o erróneos. Algunos
routers recopilan estadísticas de los paquetes; también puede usar un escáner de red de
software para rastrear los paquetes deformados.
• Los filtros de salida del router o del firewall capturan un gran número de paquetes.
Los filtros de salida impiden que los paquetes falsos salgan de su red, así que si su filtro
está capturando un gran número de paquetes, debe identificar su fuente, porque los
ordenadores de su red podrían estar en peligro. Compruebe la documentación del hardware
de su red para obtener más información sobre los filtros de salida.

Nota: Network Monitor es una herramienta de Microsoft que se incluye en Microsoft Systems
Management Server (SMS) y que puede usarse para capturar el tráfico de la red (Windows
2000 incluye una versión limitada). Para más información sobre Network Monitor, consulte
Cómo: Usar Network Monitor para Capturar el Tráfico de Red:
http://support.microsoft.com/?kbid=812953.
Vea también las Preguntas Frecuentes Sobre Network Monitor:
http://support.microsoft.com/?kbid=294818.
ISA Server incluye también varias capacidades para ayudarle a detectar y responder a las
intrusiones, descritas en Seguridad con Internet Security and Acceleration Server 2000:
http://www.microsoft.com/isaserver/techinfo/planning/firewallsecuritywp.asp.

134
Guía Microsoft de Gestión de Parches de Seguridad 135

Supervisar las Configuraciones


Hay varias áreas que comprobar en los ordenadores y dentro de los dominios:
• Servicios no autorizados. Compruebe la lista de servicios que se están ejecutando en el
servidor o en la estación de trabajo. Compruebe que todos los servicios son necesarios
comparándolos con ordenadores similares. Muchos ataques utilizan nombres de servicios
que parecen auténticos; cree una línea de referencia para los servicios que se ejecutan en
los ordenadores nuevos y compruebe periódicamente si ha habido cambios.
• Archivos escondidos o nuevos directorios. Localice todos los archivos escondidos
ubicados en C:\, en los directorios C:\Winnt o C:\Winnt\System32 o en cualquier otro lugar
de la ruta ejecutable. Busque los directorios de nueva creación que puedan contener código
de ataque.
• Aparición de cuentas de usuario nuevas o desconocidas. La aparición de nuevas
cuentas de usuario, especialmente las asignadas a grupos con privilegios, puede indicar
que un ataque o una elevación de privilegios ha tenido éxito. Busque las cuentas que no
cumplen las convenciones de nomenclatura de su empresa.

Nota: El Centro de Scripts de TechNet incluye varios scripts para realizar de forma remota listas
de servicios, carpetas y cuentas de usuario de dominio.
Determinar los Servicios Que Se Están Ejecutando en Todos los Procesos:
http://www.microsoft.com/technet/scriptcenter/services/ScrSvc04.asp.
Enumerar Todas las Carpetas de un Ordenador:
http://www.microsoft.com/technet/scriptcenter/filefolder/ScrFF25.asp.
Enumerar Todas las Cuentas de Usuario en un Dominio NT 4.0:
http://www.microsoft.com/technet/ScriptCenter/user/ScrUG120.asp.

Auditar Registros de Eventos


Los registros de eventos son también una fuente de información útil sobre intrusiones. Examine
los registros de la aplicación, el sistema, seguridad e IIS y preste atención a:
• Reinicios no programados de los ordenadores servidor. Esto puede indicar que han
estado e peligro. Supervise los registros de eventos del servidor por si ha habido inicios de
sesión fallidos y otros eventos relacionados con la seguridad.
• Reinicios no programados o falta de disponibilidad de las aplicaciones de servidor.
Preste atención a si alguna aplicación de servidor, como Internet Information Services (IIS)
o SQL Server, se reinicia inesperadamente o deja de responder.

Nota: Para más información sobre las auditorías en Windows, vea:


Cómo: Habilitar y Aplicar la Auditoría de Seguridad en Windows 2000:
http://support.microsoft.com/?kbid=300549.
Prácticas Recomendadas para Auditar Windows 2000:
http://www.microsoft.com/windows2000/en/server/help/sag_SEconceptsImpAudBP.htm?id=420

135
136 Guía Microsoft de Gestión de Parches de Seguridad

Debe realizar una auditoría regular de sus directivas de registro porque los archivos de registro
pueden confeccionarse para muchas aplicaciones. Es usted quien debe decidir si necesita
generar procesos para hacer copias de seguridad de los archivos de registro periódicamente,
antes de que se sobrescriban.
Hay varias herramientas disponibles para ayudarle a supervisar los registros de eventos, como:
• Log Parser 2.0. Una herramienta potente y versátil que puede usar para extraer
información de archivos en casi cualquier formato usando consultas tipo SQL.
Log Parser 2.0:
http://www.microsoft.com/windows2000/downloads/tools/logparser.
• EventCombMT. Una herramienta multiproceso que busca registros de eventos de varios
servidores a la vez y que se incluye en el Kit de Recursos de Windows Server 2003.
Kit de Recursos de Windows Server 2003:
http://go.microsoft.com/fwlink/?LinkId=4544.
• Herramientas de línea de comando. Herramientas como EventQuery.vbs y
EventTriggers.exe están disponibles con Windows XP y Windows Server 2003 para
ayudarle a gestionar los eventos.
Gestionar registros de eventos desde la Línea de Comandos:
http://www.microsoft.com/technet/prodtechnol/winxppro/proddocs/event_commandline.asp.
• Microsoft Operations Manager. Proporciona una gestión de las operaciones
empresariales que incluye la gestión global de eventos, supervisión y alertas proactivas y
análisis de tendencias.
Microsoft Operations Manager:
http://www.microsoft.com/mom.
• Recursos adicionales. Para consultar explicaciones detalladas, acciones recomendadas y
enlace a soporte y recursos adicionales para varios mensajes de eventos y error, vea:
Centro de Mensajes de Eventos y Errores:
http://www.microsoft.com/technet/support/eventserrors.asp.

Nota: Para más información sobre la auditoría y la detección de intrusiones, incluyendo detalles
sobre las ID de Evento, consulte Auditoría y Detección de Intrusiones:
http://www.microsoft.com/technet/security/prodtech/windows/secwin2k/09detect.asp.

Hay también varios sistemas comerciales de detección de intrusiones, que usan las firmas de
ataque conocidas para ayudar en las tareas de detección de intrusiones. Por ejemplo, los
sistemas de detección de intrusiones pueden buscar el Código Rojo escaneando el archivo de
registro de IIS en busca de una petición GET clara para default.ida. Los paquetes de red se
escanean también en busca de firmas de ataque conocidas.
La Parte I, Apéndice A, “Herramientas y Recursos de Terceros”, contiene una lista de varios
sistemas de detección de intrusiones.

136
Guía Microsoft de Gestión de Parches de Seguridad 137

Plan de Respuesta a Incidentes


Si se enfrenta a un ataque activo, puede tomar varias medidas para reducir el impacto de la
intrusión.
Un buen plan de respuesta ante incidentes identifica las acciones que se realizarán durante un
ataque y garantiza que los roles y responsabilidades se entienden en toda la empresa, así como
los disparadores que inician esas acciones.

Nota: Para más información sobre la Respuesta ante Incidentes, vea:


http://www.microsoft.com/technet/security/prodtech/windows/secwin2k/10respnd.asp.
CERT tiene un Manual Para los Equipos de Respuesta a Incidentes de Seguridad Informática:
http://www.cert.org/archive/pdf/csirt-handbook.pdf.
Para documentos con ejemplos de manejo de incidentes, consulte los formularios de manejo de
incidentes de SANS:
http://www.sans.org/score/.

Evaluación
El primer paso en un escenario de respuesta urgente es identificar y definir la emergencia. Si
está en una situación de emergencia, el ataque requiere su atención inmediata. ¿Cómo de
vulnerables son todos sus sistemas? Necesita ser capaz de priorizar inmediatamente los
recursos necesarios para combatir la emergencia basándose en la evaluación de activos.
Cuado su sistema de detección de intrusiones u otros indicadores le comunican que está siendo
atacado, como parte de su evaluación necesita:
• Identificar la naturaleza del ataque. ¿El ataque es de tipo DoS o está orientado
específicamente a usted? ¿Hay alguien intentando tirar el conjunto de su red, o pretende
infiltrarse en ordenadores individuales?
• Localizar la fuente. Use su cortafuegos y audite los registros para intentar identificar dónde
se ha originado el ataque. Esto le ayudará a identificar si el ataque proviene de un host en
peligro de su propia red o del exterior.

Notificación y Escalada
La comunicación adecuada es crítica para gestionar un ataque. Dependiendo del tipo de
ataque, determine con exactitud quién necesita saber que se está produciendo un ataque.
Durante un ataque dirigido, no dé pistas al atacante enviando comunicaciones a toda la
empresa; limite la información sobre el ataque a las personas que necesitan conocerlo.
Con un virus o gusano, pueden ser adecuadas las comunicaciones a toda la empresa que
lleguen a todos los empleados presenciales y remotos. Tenga presente que las tecnologías de
comunicación pueden estar sufriendo también el ataque: tenga un plan de contingencia por si
sus métodos de comunicación habituales no están disponibles.
Asegúrese de comunicarse adecuadamente. Redacte un mensaje conciso, informativo y
preparado para mitigar el pánico. Si tiene directrices empresariales concretas sobre
comunicación, asegúrese de seguirlas para que los receptores confíen en el mensaje. Puede
que sea necesario revisar estas directrices para adecuarlas a las situaciones de emergencia.

137
138 Guía Microsoft de Gestión de Parches de Seguridad

Es muy importante que todos los implicados en responder al incidente se comuniquen


eficazmente. Así se asegura que las decisiones se toman sin duplicar esfuerzos y que no se
salta ningún paso del proceso. El equipo de respuesta ante incidentes debe ser el punto central
de todas las comunicaciones.
Contacte con sus Proveedores de Tecnología
Si un producto Microsoft está implicado en el ataque, llame a los Servicios de Soporte de
Productos Microsoft al (866) SEGURIDAD EN PC para obtener soporte gratuito sobre virus y
parches de seguridad en Estados Unidos y Canadá. Para otros países, consulte a los Servicios
de Soporte de Productos Microsoft en todo el mundo:
http://support.microsoft.com/common/international.aspx.
Si tiene el Premier Support de Microsoft, contacte con su Technical Account Manager.
Microsoft tiene expertos en seguridad y respuesta a incidentes que pueden ayudarle a
comprender un ataque y asistirle en el proceso de respuesta a incidentes.
Contacte con las Instituciones Legales
Las intrusiones pueden ser un delito. Considere avisar a la institución legal correspondiente si
está sufriendo un ataque, y entienda y acate sus requisitos jurisdiccionales para implicar a las
autoridades e informar a quienes puedan verse afectados por la intrusión.
Muchas agencias gubernamentales tienen bastante experiencia a la hora de ayudar a las
empresas frente a las intrusiones de Internet y su persecución posterior, probablemente más
experiencia que su empresa. ¡Reduzca su riesgo en una situación de emergencia
implicándolas!

Nota: En los Estados Unidos hay varias instituciones con las que puede contactar si sufre un
ataque. El Departamento de Justicia de los Estados Unidos proporciona información sobre
Cómo Comunicar un Delito Relacionado con Internet:
http://www.usdoj.gov/criminal/cybercrime/reporting.htm.

Contacte con su Asesor Legal


Es una buena idea contactar en este punto con los asesores legales de su empresa para
determinar conjuntamente si existe la posibilidad de emprender acciones legales después del
ataque, dependiendo de la naturaleza del mismo. Si existe esa posibilidad, su empresa debe
mantener durante todo el proceso un registro del impacto empresarial del ataque (daños) y
tomar medidas adicionales para proteger las evidencias, como:
• Mantener copias de seguridad de todos los registros que genere en medios de sólo lectura
y tomar notas detalladas para tener un buen registro de qué ha pasado y cuándo. Incluya
sumas de control de todos los datos recopilados en los mismos medios de sólo lectura para
demostrar que no han sido manipulados.
• Guarde el estado del sistema (servicios, puertos abiertos, cuentas de usuario, mapas de
memoria, etcétera) y cree imágenes de la unidad sospechosa. Hay herramientas de
argumentación que pueden ayudarle; consulte la Parte I, Apéndice A, “Herramientas y
Recursos de Terceros”.
• Si es crítico proteger la evidencia y dispone de un ordenador (y datos) de copia de
seguridad, no intente modificar ni reparar el ordenador afectado. Apáguelo e introduzca el
ordenador de copia de seguridad después de asegurarse de que no padece las
vulnerabilidades que lo harían susceptible al ataque. Como si fuese la escena de un crimen,
cuanto más toca un ordenador afectado más probabilidades hay de destruir la evidencia.

138
Guía Microsoft de Gestión de Parches de Seguridad 139

Aislamiento y Contención
Aunque el tiempo de actividad es muy importante en la mayoría de los entornos, mantener
disponibles los ordenadores durante un ataque puede desencadenar más daños. Sopese el
impacto de un ataque continuo y el de una defensa adecuada.
En los ataques que destruyen, manipulan o divulgan datos delicados o requieren una
reinstalación completa del ordenador, merece la pena dejar offline los ordenadores para
protegerlos. Los ataques menos intrusivos, como algunos ataques de denegación de servicio,
pueden no necesitar una respuesta tan radical. En la mayoría de los casos, hay que eliminar de
la red la fuente del ataque, independientemente del tipo de ataque, para aislarla y minimizar su
proliferación.
Cuando tome medidas extremas que tengan impacto sobre el negocio, debe supervisarlas de
cerca para eliminarlas correctamente una vez resuelto el incidente.
Éstas son varias actividades que usted puede realizar para aislar y contener un ataque:
• Deshabilitar los puntos de acceso. Determinar que punto(s) de acceso ha usado el
atacante e implementar medidas para impedir el acceso continuo. Tales medidas pueden
incluir la desactivación de un módem, el cierre de la VPN y de los servidores de acceso
remoto, la adición de entradas de control de acceso a un router o cortafuegos o la
desconexión física del equipo de red.
• Proteger los datos clasificados, delicados y propietarios. Como parte de la planificación
de la respuesta ante incidentes, debe definir claramente qué activos contienen información
delicada que debe ser protegida. Dependiendo de la naturaleza del ataque, puede decidir
apagar estos ordenadores o desactivar servicios concretos.
• Proteger el software contra el ataque. Incluye la protección contra la pérdida o alteración
de los archivos del sistema. Los daños del software pueden provocar un tiempo de
inactividad bastante caro.
• Bloquear el ataque. Si el ataque o el intento de ataque provienen de fuera, bloquee el
acceso a su red desde esa dirección IP. Algunos ataques modifican el rango de la dirección
IP fuente, así que usted necesita analizar el tráfico y bloquear puertos concretos.
Si es usted el objetivo de un ataque distribuido de denegación, puede que quiera trabajar con su
ISP para dar una respuesta coordinada.

139
140 Guía Microsoft de Gestión de Parches de Seguridad

También hay elementos específicos que puede desactivar o apagar durante un ataque. Algunos
de ellos son:
• Elimine los ordenadores que son fuente del ataque. Si ha identificado los ordenadores
concretos que están implicados en el ataque, puede que quiera eliminarlos de la red hasta
que pueda desinfectarlos y ponerlos en servicio.
• Archivos compartidos. Si el ataque usa el contexto del usuario para obtener acceso a los
archivos y datos para destruirlos, configure todos los recursos de archivos compartidos
como de sólo lectura para permitir que la mayoría del trabajo continúe e impedir que los
ataques provoquen más daños.
• Acceso remoto o a la red privada virtual. Para proteger a sus usuarios remotos del
ataque, puede desactivar la posibilidad de que los usuarios remotos se conecten a la red
corporativa. El ataque podría propagarse a esos usuarios que se están conectando o
provenir de un usuario remoto.
• Conexión a Internet. Cierre la conexión con el exterior. Esto puede no sólo detener el
ataque si proviene de fuera de la empresa, sino que también lo contiene antes de que
infecte otras ubicaciones.
• Conexiones internas. Intente contener el ataque desactivando las conexiones a otras
oficinas o ubicaciones geográficas de la empresa.
• Detenga los servicios y las aplicaciones. Ciertas vulnerabilidades dependen de servicios
concretos para propagarse. Cierre los servicios a través de los cuales puede proliferar el
ataque.
• Cierre o bloquee los puertos. Bloquee los puertos en el cortafuegos. Las vulnerabilidades
que atacan desde el exterior dependen generalmente de que estén abiertos ciertos puertos
o números de puerto. Revise la documentación de su proveedor de hardware de red para
más información.
• Cambie las contraseñas de las cuentas con privilegios elevados. Varias
vulnerabilidades intentan averiguar la contraseña de cuentas concretas. Las cuentas de
Administrador e Invitado son cuentas con altos privilegios y, por tanto, puntos favoritos de
ataque. Cambie inmediatamente estas contraseñas cuando se enfrente a un ataque.

Nota: Para más información sobre el uso de IPSec para bloquear puertos y proteger un
servidor, vea Uso de IPSec para Bloquear un Servidor:
http://www.microsoft.com/technet/itsolutions/network/maintain/security/ipsecld.asp.
Para ver los scripts que pueden iniciar y detener servicios remotamente, consulte el Centro de
Scripts para Servicios de TechNet:
http://www.microsoft.com/technet/scriptcenter/services.
Para ver los scripts que pueden cambiar contraseñas y bloquear cuentas de forma remota,
consulte el Centro de Scripts de TechNet para Usuarios y Grupos:
http://www.microsoft.com/technet/scriptcenter/user.

140
Guía Microsoft de Gestión de Parches de Seguridad 141

Análisis y Respuesta
Para poder recuperarse eficazmente de un ataque, necesita determinar la gravedad del peligro
que ha corrido su entorno. Esto le ayudará a identificar cómo contener y minimizar el riesgo,
como recuperarse, a quién debe comunicar el incidente y si debe solicitar una compensación
legal. En general, debe intentar:
• Determinar la naturaleza del ataque, porque puede ser distinta de lo que sugiere su
evaluación inicial.
• Determinar el punto de origen del ataque.
• Intentar determinar la firma del ataque para reconocer cuándo serán atacados otros
ordenadores.
• Determinar el objetivo del ataque. ¿Estaba dirigido específicamente a su empresa para
obtener información concreta o era un ataque aleatorio?
• Identificar qué ordenadores se han visto en peligro.
• Identificar a qué archivos se ha accedido y determinar la importancia de esos archivos.
Para más información sobre las herramientas de seguridad disponibles para ayudarle con la
investigación y el análisis de los ordenadores, vea la Parte I, Apéndice A, “Herramientas y
Recursos de Terceros”.
Solución
Si es necesario recuperar ordenadores tras un ataque, siempre es mejor reconstruir un sistema
nuevo. Considere reconstruir un sistema nuevo con discos duros nuevos usando su línea de
referencia actualizada y segura. Asegúrese de cambiar todas las contraseñas locales y tratar la
vulnerabilidad que se aprovechó durante el ataque. También debe cambiar las contraseñas de
las cuentas administrativas y de servicio en todo su entorno.
Si Microsoft o su proveedor de antivirus le ofrecen un modo recomendado de limpiar un
ordenador de un virus o gusano sin que sea necesaria una reinstalación completa, esta opción
puede ser preferible, porque ahorra tiempo y dinero.
Sin embargo, siempre existe la posibilidad de que un atacante haya abierto varias “back doors”
después de que su ordenador quedase en peligro durante un ataque (por ejemplo, varios virus
dejan back doors para futuras entradas). Cuando un ordenador ha estado en peligro por un
ataque de cualquier tipo, la forma más segura de devolverlo al servicio es reinstalar el sistema
operativo, volver a cargar las aplicaciones desde una copia de seguridad conocida o una línea
de referencia que aplique una directiva de seguridad actual y asegurarse de que se ha tratado
la vulnerabilidad explotada.
Aunque puede ser tentador resolver el problema rápidamente y devolver el ordenador a la red,
hacerlo es arriesgado, porque es imposible determinar que back doors o cambios han dejado
los atacantes en el ordenador.

Nota: CERT mantiene una lista de Pasos para Recuperarse de Una Situación de Peligro:
http://www.cert.org/tech_tips/root_compromise.html.

141
142 Guía Microsoft de Gestión de Parches de Seguridad

Gestión del Lanzamiento Acelerado


Al resolver problemas en el entorno en respuesta a un ataque, use como guía sus procesos
actuales de gestión del lanzamiento y los cambios, realizando sólo aquellos pasos necesarios
para responder rápida y eficazmente al ataque.
Si se puede resolver un ataque con la aplicación de una contramedida o actualización de
software, determine cómo instalarlo rápidamente en la empresa. El riesgo de que se aproveche
una vulnerabilidad durante un ataque es significativamente mayor que en una situación normal,
por lo que usted puede decidir realizar sólo las pruebas básicas durante una emergencia.
Tenga en cuenta todos los activos tecnológicos de la empresa. Durante un ataque, no todos los
activos tienen que estar conectados a la red; por ejemplo, puede ser necesario ocuparse de los
usuarios remotos. Si implanta un lanzamiento acelerado, puede que necesite implantarlo de
nuevo cuando vuelvan a incorporarse los ordenadores remotos, o instalarlo en ellos antes de
que se conecten.
Las herramientas y tecnologías para implantar un lanzamiento de seguridad se tratan en la
Parte II, Capítulo 4, “Lanzamiento de Seguridad”. Si no tiene todavía una infraestructura de
distribución de parches, plantéese remitir a los usuarios a Windows Update u Office Update
para instalar un parche de seguridad, o poner en marcha una infraestructura de emergencia de
Software Update Services.
Si su conexión a Internet no se ha desactivado durante el ataque, los ordenadores pueden
descargar e instalar la actualización de software desde Windows Update. Este método es
también extremadamente útil para los usuarios remotos. Puede comunicarles la importancia de
la actualización de software y darles instrucciones sobre cómo usar el sitio Web de Windows
Update.
Como último recurso, si el ataque ha tenido impacto sobre los servicios de red, considere si
debe implantar manualmente la actualización de software. Esto implica visitar cada ordenador y
aplicar el lanzamiento, o proporcionar CDs e información de instalación a todos los usuarios de
manera coordinada.
Supervisión y Reducción
Una vez que ha implantado el lanzamiento en el entorno de producción, continúe supervisando
sus ordenadores y su red. Observe si se repiten las firmas de algún ataque. Además de
supervisar los servidores existentes, es importante que supervise el entorno como un todo para
asegurarse de que los nuevos ordenadores añadidos a la red no son vulnerables, lo cual
permitiría que el ataque volviese a empezar.
La reducción indica el retorno al funcionamiento empresarial normal. Se produce típicamente
cuando ninguna de las partes implicadas en el incidente identifica o comunica nuevos datos.

142
Guía Microsoft de Gestión de Parches de Seguridad 143

Actividades y Revisión Tras el Incidente


Una vez resuelto el incidente y cuando el ataque ya no se considera una amenaza activa, debe
realizar algunas actividades finales, entre las que se incluyen:
• Envíe una solicitud de cambios siguiendo el proceso de cambio típico de su empresa y
relance los cambios en el entorno de producción que fueron necesarios durante el ataque.
Si antes se saltó la fase de pruebas, ahora es el momento de garantizar adecuadamente
que los cambios de producción implementados no tienen un impacto negativo sobre la
seguridad y la fiabilidad de su entorno.
• Asegúrese de añadir las vulnerabilidades aprovechadas a sus informes de rastreo de
vulnerabilidades y a los estándares de la directiva de seguridad informática para que el
ataque no tenga oportunidad de repetirse.
• Evalúe los costes y daños totales del incidente; incluya los costes del tiempo de inactividad
y de recuperación.
• Revise el rendimiento de su empresa durante el incidente. Aproveche esta oportunidad para
mejorar su plan de respuesta a incidentes.

143
144 Guía Microsoft de Gestión de Parches de Seguridad

144
Guía Microsoft de Gestión de Parches de Seguridad 145

7
Optimizar los Resultados
Medir y Mejorar el Rendimiento
Una vez que su proceso de gestión de parches de seguridad está establecido y funcionando,
usted querrá asegurar su eficacia, supervisar su rendimiento y mejorar los resultados a través
del tiempo. Incluso con la planificación adecuada, puede identificar otras mejoras del proceso a
través de la supervisión y la evaluación.
Hay tres áreas importantes principales dentro de la gestión de parches de seguridad que usted
seguramente querrá medir y mejorar:
• Mejorar los lanzamientos de seguridad
• Mejorar el cumplimiento de la directiva de seguridad
• Mejorar la respuesta urgente de seguridad
Las empresas pueden supervisar, medir y mejorar estos procesos independientemente
rastreando estadísticas básicas y considerando las áreas descritas en las secciones siguientes.
Alternativamente, las empresas pueden optimizar la gestión de parches de seguridad como
parte de una evaluación de seguridad o una evaluación operacional. Al final de este capítulo se
ofrece información de alto nivel sobre todos estos tipos de evaluaciones.

Mejorar los Tiempos de Respuesta del Lanzamiento de


Seguridad
A través del proceso de implantación de los lanzamientos de seguridad, hay varios puntos que
su empresa puede rastrear para ayudar a identificar las áreas problemáticas y mejorar el
rendimiento en el futuro.

Nota: Además de las mejoras de tiempos, discuta y evalúe también las mejoras en la calidad de
la gestión de parches de seguridad. Siempre que un parche de seguridad se evalúe
incorrectamente, no se aplique efectivamente o sea aplicado de un modo que provoque
problemas, debe revisarse el problema para determinar qué debe mejorarse.

145
146 Guía Microsoft de Gestión de Parches de Seguridad

La lista siguiente describe varios puntos que deben supervisarse durante el proceso de gestión
de parches de seguridad para todas las vulnerabilidades:
• Ta = Conocimiento (Awareness) de la vulnerabilidad. Conocimiento público temprano de
una vulnerabilidad.
• Tb = Boletín (Bulletin) para una nueva actualización de software relacionada con la
seguridad y contramedidas para tratar la vulnerabilidad.
• Tc = Cambiar (Change): solicitud de cambio aprobada.
• Td = Implantación (Deployment) de una actualización de software confirmada.
• Te = Explotación (Exploit) desarrollada para la vulnerabilidad (un ataque potencial o real).
Esto se da cuando se lanza un virus, gusano, troyano u otra herramienta conocida de
ataque apara explotar esta vulnerabilidad en concreto.
Si lo desea, puede rastrear otros puntos de datos además de estos durante la gestión del
lanzamiento y los cambios para medir y mejorar actividades concretas de su interés.

Nota: Típicamente, Ta = Tb, es decir, el conocimiento público de una vulnerabilidad se produce al


mismo tiempo que la actualización de software está disponible. Microsoft trabaja con las
empresas que encuentran las vulnerabilidades para lanzar actualizaciones de software al
mismo tiempo que las vulnerabilidades son anunciadas públicamente.

Figura 7.1
Ejemplo de Límite Temporal con Cálculos de Duración
Los cálculos de duración de las secciones siguientes pueden proporcionar una perspectiva de
qué funciona y qué no durante la gestión de parches de seguridad.
Calcule la duración para cada vulnerabilidad y los promedios para cada período medido y
comparado.
Busque ejemplos de resultados rápidos y tiempos de respuesta lentos y úselos como una fuente
de feedback positivo y de áreas para mejorar en el futuro. Supervise también los promedios de
los cambios (idealmente, de las mejoras) a través del tiempo.

146
Guía Microsoft de Gestión de Parches de Seguridad 147

Además de las mejoras relacionadas con el tiempo, discuta y evalúe también las mejoras en la
calidad de la gestión de parches de seguridad. Siempre que un parche de seguridad se evalúe
inadecuadamente, no se aplique eficazmente o se aplique de modo que cause problemas, debe
revisar el problema para determinar qué hay que mejorar.
Disponibilidad de la Actualización de Software Antes del Ataque: Te - Tb
Este cálculo describa la situación típica de un boletín, actualización de software y
contramedidas disponibles (Tb) antes de que se desarrolle un modo de explotación (Te) y se
pueda producir un ataque.
Es importante controlar la rapidez con que los virus y otras vulnerabilidades aprovechan las
vulnerabilidades a través del tiempo. Este plazo está fuera del control de su empresa, pero
puede usarse para modificar los plazos recomendados que sí están bajo su control.
Aunque los plazos pasados no son una garantía de los plazos de ataque futuros, entender esta
información es una buena fuente de entrada para decidir objetivos realistas y útiles para el
lanzamiento de cara a futuras vulnerabilidades.
Si esta duración decrece a través del tiempo, es posible que usted quiera reducir los plazos de
tiempo recomendados para el lanzamiento de la actualización de software que presentamos en
la Tabla 4.1: Directrices Temporales para la Implantación de un Lanzamiento de Seguridad de
la Parte II, Capítulo 4, “Lanzamiento de Seguridad”.

Nota: Para ver ejemplos de esta duración para varios ataques históricos, consulte la Tabla 1.7:
Ejemplos de Ataques Históricos y Boletines MSRC Relacionados de la Parte I, Capítulo 1,
“Introducción a la Gestión de Parches de Seguridad”.

Período “Seguro” Antes del Ataque: Te - Td


Este cálculo describe el período de tiempo desde la implantación de la actualización de software
(Td) hasta que se desarrolla una forma de aprovecharla (Te) y se puede producir un ataque.
Debe intentar incrementar la media de este período seguro a través del tiempo.
Si esta duración es siempre positiva, significa que su proceso de gestión de parches de
seguridad ha sido eficaz, lanzando los parches de seguridad antes de que las vulnerabilidades
hayan sido aprovechadas. Úselo como un ejemplo de cómo la gestión de parches de seguridad
evita proactivamente los problemas antes de que se produzcan.
Si esta duración es negativa, tiene un problema que resolver: o bien su empresa es reactiva y
espera a que los problemas se produzcan, o bien es demasiado lenta al realizar la gestión de
parches de seguridad.

Nota: Las vulnerabilidades pueden repetirse por muchas razones después de distribuir las
actualizaciones de software, lo cual significa que un entorno “seguro” puede volverse
vulnerable. Vea la sección siguiente sobre Mejorar la Aplicación de la Directiva de Seguridad
para más información sobre cómo mejorar el rendimiento respecto a la repetición de
vulnerabilidades históricas.

Duración de la Vulnerabilidad Abierta: Td - Ta


Este cálculo describe el período de tiempo que transcurre desde que su empresa se entera de
que hay una vulnerabilidad (Ta) hasta que implanta una actualización de software (Td). Debe
intentar reducir este tiempo medio.

147
148 Guía Microsoft de Gestión de Parches de Seguridad

Éste es el período de tiempo durante el que su empresa es vulnerable a un ataque dirigido a


esta vulnerabilidad concreta. Compare este cálculo con la disponibilidad típica de la
actualización de software antes de un ataque. Su objetivo debe ser reducir las vulnerabilidades
abiertas antes de que sean explotadas activamente.
Use los cálculos siguientes para entender con más exactitud dónde se invierte el tiempo durante
la gestión de parches y mejorar lo que sea necesario.
Duración de la Gestión del Lanzamiento: Td - Tc
Este cálculo muestra el tiempo que una empresa invierte en diversas actividades durante la
gestión del lanzamiento.
Para mejorar la gestión del lanzamiento, considere los siguientes aspectos:
• Planificación del lanzamiento. ¿Debe incluir el formulario de solicitud de cambios
información adicional que ayude a hacer más eficiente la planificación del lanzamiento?
• Desarrollo del lanzamiento. ¿Necesita su empresa herramientas o habilidades para
mejorar su rendimiento durante esta actividad?
• Test de aceptación. ¿Hay herramientas que podrían mejorar los tiempos de pruebas?
¿Está adecuadamente gestionado y formado el entorno de pruebas?
• Planificación y preparación del lanzamiento. ¿Tiene su empresa bastante información
sobre el entorno para implantar eficazmente los parches? ¿Hay más información sobre los
ordenadores que pueda registrarse regularmente?
• Implantación del lanzamiento. ¿Está usando herramientas que le ayudan a implantar el
lanzamiento o es un proceso principalmente manual?
• Revisión de los cambios. ¿Ha recopilado suficientes datos e informes para saber si el
lanzamiento ha tenido éxito?
Duración de la Gestión y el Inicio de los Cambios: Tc – Tb
Este cálculo muestra el tiempo que su empresa invierte en el inicio del cambio y en el proceso
de gestión.
Para mejorar la gestión de los cambios, considere estos aspectos:
• Inicio del cambio. ¿Cuánto se tarda en determinar una vulnerabilidad y si el parche de
seguridad asociado a ella es apropiado para su entorno? ¿Tiene su empresa la información
de inventario necesaria para determinar la relevancia con rapidez y exactitud?
• Clasificación de los cambios. ¿Es fácil determinar la prioridad de un lanzamiento de
seguridad? ¿Está disponible o es fácil de recopilar la información necesaria sobre el
inventario y la configuración? ¿Tiene herramientas que le proporcionen esta información?
• Aprobación de los cambios. ¿Con qué rapidez se aprueban los cambios? ¿El equipo de
aprobación de cambios se reúne con la suficiente frecuencia? ¿Tiene toda la información
necesaria para tomar una decisión?

Mejorar la Aplicación de la Directiva de Seguridad


Incluso después de haber tratado las vulnerabilidades en un entorno, pueden repetirse. Las
nuevas instalaciones, las reinstalaciones y la administración distribuida o realizada por el
usuario final pueden contribuir a la posibilidad de que una vulnerabilidad se repita y exponga
toda su infraestructura a un ataque.

148
Guía Microsoft de Gestión de Parches de Seguridad 149

Supervise los informes de rastreo de vulnerabilidades a través del tiempo y cree un incidente
siempre que una vulnerabilidad se repita en el entorno (esto se hace mejor a través de una
herramienta de gestión de incidentes). Supervise regularmente el número de incidentes de
seguridad pendientes y el número total de incidentes de seguridad.
Cuando las vulnerabilidades se repiten regularmente en un entorno, esto suele ser un síntoma
de un problema administrativo mayor o de un problema en la directiva de seguridad. Para
resolverlo, tenga en cuenta estas áreas:
• Imágenes de los ordenadores con línea de referencia. ¿Tiene su empresa imágenes de
los ordenadores con una línea de referencia para estandarizar y acelerar el proceso de
instalación? ¿Las usa todo el mundo cuando se instalan nuevos ordenadores en el
entorno? ¿Rinde cuentas cada grupo acerca del uso de las prácticas informáticas seguras?
• Acceso administrativo. ¿Cuántas personas tienen permisos administrativos en su
empresa para instalar software? ¿Son todos administradores de usuarios finales?
¿Conocen todos los administradores su directiva de seguridad? ¿Debe reconsiderarse la
directiva?
• Fuentes comunes de problemas de seguridad. ¿Provienen de un departamento concreto
o de un cierto tipo de ordenador (un modelo, sistema operativo o aplicación determinados)
la mayoría de las violaciones de la directiva de seguridad? Es posible que necesite
formación adicional en esta área o prestarle especial atención.
Cambiar las directivas, los procedimientos y la automatización aplicados a la administración de
los equipos puede reducir significativamente el número de vulnerabilidades recurrentes del
entorno.
Además de la directiva de seguridad y los cambios administrativos, puede mejorar los tiempos
de respuesta ante problemas de seguridad a través de mejoras en la escalación y otras áreas,
como la aplicación de parches. Estos temas se tratan en la Parte II, Capítulo 5, “Aplicar la
Directiva de Seguridad”.

Mejorar la Respuesta Urgente de Seguridad


Idealmente, las empresas nunca deberían tener que implementar sus planes y procedimientos
de contingencia para una respuesta urgente de seguridad en una situación real de ataque.
En caso de producirse una situación en la que sea necesaria una respuesta al ataque, tenga
presente que es una oportunidad ideal para aprender y mejorar desde la experiencia. Después
del suceso, reúnase con las personas principales de cada grupo afectado para reflexionar sobre
el ataque, cómo ha progresado su empresa a través de la experiencia y qué podría hacer para
mejorar resultados futuros.
Alternativamente, sus planes de respuesta urgente de seguridad pueden ser revisados
internamente o por un tercero, o puede realizar una prueba del funcionamiento de los
procedimientos de respuesta urgente de seguridad organizando o simulando un ataque. Puede
incluso usar pruebas de penetración para encontrar los puntos débiles y determinar la eficacia
de sus informes de detección de intrusiones y de los procedimientos resultantes de respuesta
urgente de seguridad.

149
150 Guía Microsoft de Gestión de Parches de Seguridad

Revisión de la Respuesta Urgente de Seguridad


Cuando revise el rendimiento de su empresa al tratar un ataque (ya sea simulado o real),
intente crear un entorno no culpable en el cual se pueda centrar en mejorar el rendimiento
futuro perfeccionando los procesos y los procedimientos. La agenda debería cubrir, como
mínimo, los siguientes elementos:
• Cronología del incidente. ¿Qué ha pasado y cuándo? Es difícil debatir un suceso sin tener
una visión exacta de qué ha pasado desde varias perspectivas distintas.
• Factores de éxito. ¿Qué ha funcionado? ¿Qué aspectos del proceso funcionan y deben
ser fomentados y repetidos?
• Áreas por mejorar. ¿Qué ha ido mal? ¿Qué es lo que no ha funcionado como se
esperaba? ¿Qué se ha incumplido por completo?
• Sugerencias. ¿Qué se debe cambiar? ¿Cómo estaría mejor preparado para un ataque
futuro y quién es responsable de realizar este cambio?
Idealmente, la revisión debe durar entre cuatro horas y uno o dos días. No programe la revisión
inmediatamente después de un ataque; espere un par de días para que los hechos y los ánimos
se calmen.
Envíe materiales de trabajo antes de la reunión para hacerla más efectiva, aunque sea un breve
sondeo para que los asistentes lo rellenen previamente o una lista de tareas que deben
prepararse para tratar.
Al revisar una respuesta urgente de seguridad, considere los siguientes elementos:
• ¿Qué debe hacerse en el futuro para evitar ataques?
• ¿Cómo se identifica un ataque? ¿Cómo se informa al resto de la empresa de la situación?
¿Cómo consigue cada grupo la información que necesita?
• ¿Qué plan de contingencia adicional hay que preparar para un futuro ataque?
• ¿Entiende cada grupo sus roles y responsabilidades durante un ataque? ¿De qué modo se
espera que trabajen juntos los distintos grupos?
• ¿Cómo puede comunicarse eficaz y globalmente, teniendo en cuenta que algunos canales
de comunicación pueden haberse visto afectados?
• ¿Cómo se informa a los usuarios finales durante el suceso? ¿Cómo se les forma y prepara
antes de un suceso?
• ¿Podría alguien aprovechar la confusión que se produce durante un ataque para obtener
acceso adicional? ¿Cómo se puede impedir esto?
Asegúrese de priorizar los resultados obtenidos en la revisión y de tener responsables y plazos
temporales junto a cada elemento de acción. Programe otra reunión para revisar y compartir los
progresos hacia estos objetivos.

150
Guía Microsoft de Gestión de Parches de Seguridad 151

Evaluación de Operaciones
La gestión de parches de seguridad es una de las muchas áreas de las operaciones TI. Las
empresas invierten en operaciones un porcentaje considerable de su presupuesto de TI, porque
lograr la excelencia en el funcionamiento reduce los gastos y mejora la fiabilidad, disponibilidad,
soporte y manejabilidad de los servicios vitales para la empresa.
Una evaluación de operaciones permite al equipo de operaciones obtener ventajas tangibles en
relación a las operaciones existentes o propuestas, independientemente del tamaño de la
empresa o de su nivel de madurez.
Para obtener una auto evaluación rápida de la excelencia operacional de su empresa, consulte
la Herramienta de Auto Evaluación de Microsoft Operations Framework:
http://www.microsoft.com/technet/itsolutions/tandp/opex/moftool.asp.
Para aprender más sobre las evaluaciones operacionales y para obtener servicios de
consultoría que puedan realizar una evaluación de operaciones, consulte la Oferta de Servicios
de Evaluación de Operaciones:
http://www.microsoft.com/solutions/msm/evaluation/overview/opsassessment.asp.
Microsoft Services realiza estas evaluaciones periódicamente.

151
152 Guía Microsoft de Gestión de Parches de Seguridad

Evaluación de Seguridad
Una evaluación de seguridad tiene como objetivo ayudar a los profesionales de la seguridad a
desarrollar una estrategia para proteger la disponibilidad, la integridad y la confidencialidad de
los datos de la infraestructura TI de una empresa.
Una evaluación de seguridad típica incluye una evaluación organizativa, evaluación de los
activos, identificación de las amenazas, evaluación de las vulnerabilidades y evaluación del
riesgo de seguridad. Los resultados incluyen la implementación de un plan de acción de
seguridad y un plan de contingencia del riesgo de seguridad en el entorno, incluyendo
modificaciones y mejoras operacionales.
La evaluación de seguridad debe realizarse a nivel organizativo o en un subconjunto del
entorno.
Para más información sobre cómo ayudar a una empresa a realizar su propia evaluación de
seguridad, consulte la Disciplina de Gestión del Riesgo de Seguridad:
http://www.microsoft.com/technet/security/prodtech/windows/secwin2k/03secrsk.asp
El programa Gold Certified Partner for Security Solutions de Microsoft identifica varias empresas
con experiencia en la tecnología de la seguridad y en la realización de evaluaciones de
seguridad. Para más información sobre este programa, vea el programa Gold Certified Partner
for Security Solutions de Microsoft:
http://members.microsoft.com/partner/partnering/programs/securitysolutions/default.aspx.

152
Guía Microsoft de Gestión de Parches de Seguridad 153

Índice
evaluación de operaciones, 52, 151evitar
A ataques, 28, 29, 133
actualizaciones de software
terminología, 26
comprensión, 113 G
amenazas gestión de los cambios, 7, 37, 47, 49, 50, 70, 105,
agentes, 23 107, 142
categorías, 24 gestión del lanzamiento, 37, 48, 49, 70, 105, 109,
ataques históricos, 28, 147 111, 116, 118, 142, 146, 148
Gestión de Parches de Seguridad
configuración y mantenimiento, 42, 76
B preparación, 6
boletín de seguridad, 26, 28, 29, 43, 77, 79, 99, el problema empresarial, 5, 31
100, 103, 110, 120, 122, 125 gestión del riesgo, 71, 109, 110, 152
gusano, 7, 10, 24, 25, 28, 29, 31, 37, 44, 70, 101,
132, 133, 137, 141, 146
C
categorización de activos, 76, 77, 81, 107
Centro de Respuesta de Seguridad de Microsoft,
H
23, 24, 40, 79, 99, 101, 109, 153 Herramientas
niveles de gravedad, 23, 24, 103 AURegConfig.cmd, 83
CERT, 80, 134, 137, 141 diagramas de procesos de seguridad, 68
clasificación, 108, 112, 148 MBSAScan.wsf, 84, 85, 91, 92
Código Rojo, 28, 134, 136 supervisión de los registros de eventos,
cómo repara Microsoft el software tras su 136
lanzamiento, 26 herramientas de terceros, 6, 35, 62, 63, 64, 77,
contramedida, 23, 43, 47, 70, 109, 142 81, 129, 136, 141
correo bomba, 23
coste de la seguridad débil, 21 I
creación de una línea de referencia (baselining), identificación, 7, 32, 43, 50, 70, 97, 99, 152
7, 38, 39, 69, 77, 81, 83, 84, 85 implantación por fases, 49, 59, 115, 118, 119
cuarentena, 33, 45, 69, 103 Información Básica de Seguridad y Privacidad de
Microsoft, 5
D informe de rastreo de vulnerabilidades, 40
datos manipulados, 24 informe de seguridad, 7, 37, 40, 68, 81, 83, 91
denegación de servicio, 24, 29, 39, 132, 139 inicio del cambio, 7, 40, 42, 49, 52, 69, 97, 98,
descarga de actualizaciones, 103, 104 148
detectar intrusiones, 136 instalación, 7, 38, 39, 70, 73, 75, 85, 122, 134
detección de intrusiones, 10, 21, 40, 51, 62, 64, investigación legal, 31, 64
81, 132, 134, 137, 149
directivas Microsoft
de distribución de software, 100 L
de ciclo de vida de soporte del producto, lanzamiento de seguridad, 7, 17, 27, 43, 44, 46,
76 47, 48, 49, 70, 72, 105, 108, 109, 118,
directiva de seguridad, 23, 25, 32, 33, 37, 39, 40, 127, 128, 142, 145, 147
43, 44, 47, 50, 52, 70,127, 129 línea de referencia (baseline), 38, 39, 49, 75, 127,
estrategias de aplicación, 129 134, 135, 143
aplicación, 7, 50, 70, 127, 129, 147, 149

M
E Microsoft Operations Framework, 10, 22, 34, 52,
elevación de privilegios, 24 71, 151, 153
evaluación de activos, 77, 108, 137, 152

153
6 Guía Microsoft de Gestión de Parches de Seguridad

Microsoft Solutions for Management, 10, 15, 60,


61
R
Microsoft Solutions Framework, 35 rechazo, 24
relevancia, 7, 37, 44, 69, 97, 102, 48
respuesta a incidentes, 33, 51, 131, 132, 137,
N 138, 143
notas del lanzamiento, 17 respuesta urgente de seguridad, 37, 44, 51, 52,
notificación, 40, 58, 61, 79, 80, 99, 102, 137 70, 71, 131, 132, 145, 149, 150
restauración, 37, 49, 70, 111, 112, 114, 115, 116
revelación de información, 24
O revisión de los cambios, 49, 70, 116, 120, 148
optimización de resultados, 37, 52, 69, 145
ordenadores no administrados, 32, 78, 127
S
P script, 9, 122, 128, 130, 135, 140
plan de contingencia, 132, 137, 150 service pack, 10, 26, 27, 32, 38, 39, 44, 48, 59,
planificación del lanzamiento, 48 63, 75, 79, 84, 85, 90, 91, 104, 108, 112,
prioridad, 10, 44, 69, 71, 108, 109, 111, 112, 132, 123, 128
148 SQL Slammer, 5, 28, 29, 134
Productos lecciones aprendidas de, 29
Exchange Server, 20, 55, 57, 78, 113 suplantación de identidad, 24
Internet Explorer, 27, 55, 57, 85, 90, 92, suscripción, 40, 79, 81
100, 104, 113
Microsoft Baseline Security Analyzer, 7,
32, 40, 55, 56, 57, 78, 83, 85, 91, 92, 99,
T
120, 128 terminología de seguridad, 23
Microsoft Office, 17, 26, 56, 57, 58, 59, test de aceptación, 49, 114
60, 86, 104, 113, 132, 142 Técnicas, 5, 6, 7, 10, 12, 32 33, 36, 39, 40, 50,
Software Update Services, 7, 11, 26, 45, 68, 71, 72, 73, 76, 81, 83, 84, 91, 118,
54, 55, 56, 59, 60, 61, 72, 76, 81, 120, 129, 132
83, 84, 86, 88, 90, 91, 92, 94, 99, Tecnologías
103, 118, 120, 121, 122, 123 resumen ejecutivo, 54
SQL Server, 7, 29, 55, 57, 78, 86, 113, troyano, 25, 146
123, 135
Systems Management Server, 2, 7, 26, V
45, 54, 56, 60 61, 72, 76, 85, 99, virus, 10, 21, 25, 31, 45, 70, 80 97, 133
122, 134 informe de rastreo, 40
Visual Studio, 2, 114
Windows 2000, 54, 57, 58, 59, 75, 84, 88,
91, 112, 113, 133, 134, 134
Windows 2003, 54
Windows NT, 54, 57, 112, 113
Windows XP, 54, 57, 58, 59, 84, 91, 110,
113, 114, 133, 136

You might also like